Han transcurrido más de diez días desde que puse en funcionamiento mi sistema de detección y bloqueo de intrusos, con el cual he podido registrar un elevado número de ataques por día provenientes desde todo tipo de ubicaciones.
Contando con una muestra de mayor tamaño, tuve la idea de determinar el país de origen de la mayoría de los ataques. Para ello necesité determinar desde qué país proviene una dirección IP, y elaborar un pequeño script. Como muchos saben, me encanta picar números y analizar estadísticas.
fuckers.sh
:
#!/bin/sh cat /usr/local/GTFO/unbanned.ip | while read LINE; do ./ip-country.sh $LINE # Be gentle sleep 1 done | sort | uniq -c | sort -nr
Para cada IP registrada en la base de datos de direcciones IP desbloqueadas de GTFO, invoca al script ip-country para determinar su país de origen. Luego contabiliza la cantidad de apariciones de cada país (sort | uniq -c
) y genera un ranking (sort -nr
).
Este es el resultado de la corrida para la muestra actual, para cada país se muestra el número de direcciones IP únicas encontradas:
82 India 43 Ukraine 41 Philippines 39 United States 39 Spain 29 Italy 27 Romania 27 Brazil 25 France 21 Poland 18 Great Britain 17 Malaysia 16 Turkey 16 Pakistan 16 Indonesia 16 Germany 16 Argentina 14 12 Netherlands 12 Israel 11 Saudi Arabia 11 Bangladesh 11 Algeria 10 Switzerland 10 Morocco 9 Egypt 9 Canada 8 Portugal 8 Korea, Republic of 8 Hong kong 8 Belgium 7 Sri Lanka 7 Russian Federation 7 Hungary 7 Greece 7 Bulgaria 7 Bosnia and Herzegovina 7 Australia 6 South Africa 6 Mexico 6 Denmark 6 Czech Republic 6 Croatia (Hrvatska) 6 Austria 5 Sweden 5 Slovakia (Slovak Republic) 5 Lithuania 5 Japan 5 China 4 United Arab Emirates 4 Thailand 4 Singapore 4 Norway 4 Mauritius 4 Georgia 4 Colombia 3 Viet Nam 3 Tunisia 3 Jamaica 3 Iran, Islamic Republic of 3 Finland 3 Dominican Republic 3 Chile 2 Tanzania, United Republic of 2 Taiwan, Province of China 2 Slovenia 2 Qatar 2 Palestinian Territory, Occupied 2 New Zealand 2 Nepal 2 Macedonia, the former Yugoslav Republic of 2 Kuwait 1 Venezuela 1 Togo 1 Syrian Arab Republic 1 Somalia 1 Senegal 1 San Marino 1 Saint Lucia 1 Puerto Rico 1 Peru 1 Panama 1 Nigeria 1 Namibia 1 Mongolia 1 Moldova, Republic of 1 Jordan 1 Ireland 1 Iceland 1 Haiti 1 Ghana 1 Cote D'Ivoire (Ivory Coast) 1 Costa Rica 1 Cameroon 1 Cambodia, Kingdom of 1 Brunei Darussalam 1 Belize 1 Bahrain 1 Antigua and Barbuda 1 Albania 1 (user-assigned)
Tres cosas me llaman la atención. Primero, me sorprende la cantidad de ataques provenientes desde Ucrania. Es una constante recibir ataques desde este país. Aparentemente tienen una cultura de security hacking muy grande. Recuerden que hace poco dejaron una ciudad sin energía eléctrica, robaron 10 millones de dólares a un banco y filtraron correos electrónicos nada más y nada menos que de Vladimir Putin. Digamos que son unos muchachos bastante peligrosos.
Lo segundo es ver a Argentina bastante cerca del tope del ranking, lo cual me genera sentimientos encontrados. Me alegra ver que la cultura de cyberhacking está floreciendo en el país, y al mismo tiempo me da pena que se quieran cargar un sitio que ofrece información útil de forma desinteresada (y para colmo de un compatriota).
Tercero (y esto es lo que más me llama la atención), los rusos ni pasan por acá. Parece que la mala fama de los rusos no es más que un mito. O tal vez son lo suficientemente decentes en lo suyo, como para no "escrachar" sus direcciones IP (¿se estarán haciendo pasar por indios o ucranianos tal vez?).
Espero que este artículo sirva para generar consciencia acerca de la seguridad informática y ver los peligros de poner un servidor en Internet, es decir, estar expuesto de manera constante, e ininterrumpida, a una avalancha de ataques ("están tirando con de todo").
Fuente: linuxito