Un monde d'octets

Aller au contenu | Aller au menu | Aller à la recherche

« Combien d'Invalid Login SSH par jour ? - Même après 18 ans d' unix ... on en apprend encore »

Provenances de connexions SSH tentées

Par pepin le samedi, mars 13 2010, 14:11 - Sécurité - Lien permanent

Sur quatres jours, les logs de connexion SSH pour les machines non connues proviennent des pays suivants ;

Mar  9 : 119.159.255.25 country:      PK
Mar  9 : 122.194.21.12 country:      CN
Mar  9 : 122.55.33.174 country:      PH
Mar  9 : 210.17.183.99 country:      HK
Mar  9 : 67.202.67.138 
Mar  9 : 91.191.174.43 country:        TR
Mar 10 : 202.196.160.16 country:      CN
Mar 10 : 58.20.234.60 country:      CN
Mar 11 : 129.49.7.12 
Mar 11 : 200.164.137.102 country:     BR
Mar 11 : 212.12.121.82 country:        DE
Mar 11 : 218.97.254.206 country:      CN
Mar 11 : 77.79.254.191 country:        PL
Mar 11 : 91.82.54.46 country:        HU
Mar 12 : 119.197.203.43 
Mar 12 : 202.199.64.17 country:      CN
Mar 12 : 211.102.90.131 country:        CN
Mar 12 : 212.12.121.82 country:        DE
Mar 12 : 78.110.7.19 country:        SA
Mar 13 : 180.150.248.123 country:      IN
Mar 13 : 78.157.32.5 country:        IR
Mar 13 : 89.179.56.88 country:        RU

Méthode de génération :

Mise en place des logs

Ajout de règles iptables suivantes :

iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j LOG --log-prefix "Connexion SSH :"

Commande d'extraction

grep SSH /var/log/kern.log | sed 's,\(......\).*SRC=\([^ ]*\).*,echo "\1 : \2 `whois \2|grep country: |head -1`",' | sort | uniq