Han transcurrido más de diez días desde que puse en funcionamiento mi sistema de detección y bloqueo de intrusos, con el cual he podido registrar un elevado número de ataques por día provenientes desde todo tipo de ubicaciones.
Contando con una muestra de mayor tamaño, tuve la idea de determinar el país de origen de la mayoría de los ataques. Para ello necesité determinar desde qué país proviene una dirección IP, y elaborar un pequeño script. Como muchos saben, me encanta picar números y analizar estadísticas.
fuckers.sh:
#!/bin/sh cat /usr/local/GTFO/unbanned.ip | while read LINE; do ./ip-country.sh $LINE # Be gentle sleep 1 done | sort | uniq -c | sort -nr
Para cada IP registrada en la base de datos de direcciones IP desbloqueadas de GTFO, invoca al script ip-country para determinar su país de origen. Luego contabiliza la cantidad de apariciones de cada país (sort | uniq -c) y genera un ranking (sort -nr).
Este es el resultado de la corrida para la muestra actual, para cada país se muestra el número de direcciones IP únicas encontradas:
82 India
43 Ukraine
41 Philippines
39 United States
39 Spain
29 Italy
27 Romania
27 Brazil
25 France
21 Poland
18 Great Britain
17 Malaysia
16 Turkey
16 Pakistan
16 Indonesia
16 Germany
16 Argentina
14
12 Netherlands
12 Israel
11 Saudi Arabia
11 Bangladesh
11 Algeria
10 Switzerland
10 Morocco
9 Egypt
9 Canada
8 Portugal
8 Korea, Republic of
8 Hong kong
8 Belgium
7 Sri Lanka
7 Russian Federation
7 Hungary
7 Greece
7 Bulgaria
7 Bosnia and Herzegovina
7 Australia
6 South Africa
6 Mexico
6 Denmark
6 Czech Republic
6 Croatia (Hrvatska)
6 Austria
5 Sweden
5 Slovakia (Slovak Republic)
5 Lithuania
5 Japan
5 China
4 United Arab Emirates
4 Thailand
4 Singapore
4 Norway
4 Mauritius
4 Georgia
4 Colombia
3 Viet Nam
3 Tunisia
3 Jamaica
3 Iran, Islamic Republic of
3 Finland
3 Dominican Republic
3 Chile
2 Tanzania, United Republic of
2 Taiwan, Province of China
2 Slovenia
2 Qatar
2 Palestinian Territory, Occupied
2 New Zealand
2 Nepal
2 Macedonia, the former Yugoslav Republic of
2 Kuwait
1 Venezuela
1 Togo
1 Syrian Arab Republic
1 Somalia
1 Senegal
1 San Marino
1 Saint Lucia
1 Puerto Rico
1 Peru
1 Panama
1 Nigeria
1 Namibia
1 Mongolia
1 Moldova, Republic of
1 Jordan
1 Ireland
1 Iceland
1 Haiti
1 Ghana
1 Cote D'Ivoire (Ivory Coast)
1 Costa Rica
1 Cameroon
1 Cambodia, Kingdom of
1 Brunei Darussalam
1 Belize
1 Bahrain
1 Antigua and Barbuda
1 Albania
1 (user-assigned)
Tres cosas me llaman la atención. Primero, me sorprende la cantidad de ataques provenientes desde Ucrania. Es una constante recibir ataques desde este país. Aparentemente tienen una cultura de security hacking muy grande. Recuerden que hace poco dejaron una ciudad sin energía eléctrica, robaron 10 millones de dólares a un banco y filtraron correos electrónicos nada más y nada menos que de Vladimir Putin. Digamos que son unos muchachos bastante peligrosos.
Lo segundo es ver a Argentina bastante cerca del tope del ranking, lo cual me genera sentimientos encontrados. Me alegra ver que la cultura de cyberhacking está floreciendo en el país, y al mismo tiempo me da pena que se quieran cargar un sitio que ofrece información útil de forma desinteresada (y para colmo de un compatriota).
Tercero (y esto es lo que más me llama la atención), los rusos ni pasan por acá. Parece que la mala fama de los rusos no es más que un mito. O tal vez son lo suficientemente decentes en lo suyo, como para no "escrachar" sus direcciones IP (¿se estarán haciendo pasar por indios o ucranianos tal vez?).
Espero que este artículo sirva para generar consciencia acerca de la seguridad informática y ver los peligros de poner un servidor en Internet, es decir, estar expuesto de manera constante, e ininterrumpida, a una avalancha de ataques ("están tirando con de todo").
Fuente: linuxito
