Bruteforce на SSH по странам
Что сеть полна ботов, пытающихся сделать что-то нехорошее, уже давно не новость. И увидеть в логах попытки отправить письмо через ваш SMTP, попытки пройти аутентификацию у вас на сайте или попытки подобрать пароль от FTP/SSH – обычное дело. Ради интереса решил натравить geoip на логи неудачных попыток входа по ssh.
Смотрите что получилось:
Вот такой конструкции пропарсил лог и получил список числа попыток войти/страны откуда эта попытка была произведена
for i in `gzcat /var/log/messages.*| fgrep ssh | fgrep 'authentication error for illegal'|awk '{print $15}'`;do
geoiplookup $i;
done| cut -d',' -f2|sort|uniq -c|sort -n|tail -n10
Получился любопытный график

|
|
Метки
allied telesis
asterisk
ccna
centos
cisco
daylight saving
dba
debug
disk
env
environment
epoch
freebsd
hardware
ipset
iptables
linux
mysql
nagios
network
nrpe
perl
pnp4nagios
portages gentoo portageq
process
programming
sata
scripting
security
sh
shell
ssh
subversion
svn
switch
timezone
tips
unix
voip
vpn
yum
Книги