Provenances de connexions SSH tentées
Par pepin le samedi, mars 13 2010, 14:11 - Sécurité - Lien permanent
Sur quatres jours, les logs de connexion SSH pour les machines non connues proviennent des pays suivants ;
Mar 9 : 119.159.255.25 country: PK Mar 9 : 122.194.21.12 country: CN Mar 9 : 122.55.33.174 country: PH Mar 9 : 210.17.183.99 country: HK Mar 9 : 67.202.67.138 Mar 9 : 91.191.174.43 country: TR Mar 10 : 202.196.160.16 country: CN Mar 10 : 58.20.234.60 country: CN Mar 11 : 129.49.7.12 Mar 11 : 200.164.137.102 country: BR Mar 11 : 212.12.121.82 country: DE Mar 11 : 218.97.254.206 country: CN Mar 11 : 77.79.254.191 country: PL Mar 11 : 91.82.54.46 country: HU Mar 12 : 119.197.203.43 Mar 12 : 202.199.64.17 country: CN Mar 12 : 211.102.90.131 country: CN Mar 12 : 212.12.121.82 country: DE Mar 12 : 78.110.7.19 country: SA Mar 13 : 180.150.248.123 country: IN Mar 13 : 78.157.32.5 country: IR Mar 13 : 89.179.56.88 country: RU
Méthode de génération :
Mise en place des logs
Ajout de règles iptables suivantes :
iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j LOG --log-prefix "Connexion SSH :"
Commande d'extraction
grep SSH /var/log/kern.log | sed 's,\(......\).*SRC=\([^ ]*\).*,echo "\1 : \2 `whois \2|grep country: |head -1`",' | sort | uniq