sshbl.org - (the SSH blacklist)

| | コメント(0) | トラックバック(0)

・sshbl.org - (the SSH blacklist)
http://www.sshbl.org/

6つのホスト(の SSHd でしょう)に対して bruteforce を仕掛けたホストのIPアドレスの一覧。
これらホストは OpenBSD または FreeBSD が動いてて、ドイツ、アメリカ、オーストリアにある。
15分ごとに更新される。

the SSH blacklist に登録されてるのはどこの国か?

どこの国からが多いのかなと思ってちょっと調査。

昔に書いたIPアドレスを入力すると国ごとに件数を数えるPerlスクリプトがあったのでそれを使った。

#!/usr/bin/perl
#
# Filename: IpToCountryCount.pl
# 標準入力からIPアドレスを入力し、国ごとに数を数える
#
 
use strict;
use Geo::IPfree;
 
my %MAP=();
 
my $GeoIP = Geo::IPfree->new('./IpToCountry.dat');
 
while (<>) {
    my ($country,$country_name) = $GeoIP->LookUp($_);
    $MAP{$country}++;
}
 
my @keys = sort {
    $MAP{$a} <=> $MAP{$b}
}  keys %MAP;
 
foreach my $key (@keys) {
    print "$key : $MAP{$key}\n";
}

まず、IPアドレスと国の関係のデータをFREE IP to Country Database から入手する。
「Download」から「Geo::IPfree format」を選択してダウンロードする。
またはwgetを使って以下のようにする。

$ wget software77.net/geo-ip?DL=4 -O IpToCountry.dat

sshbl.org から SSH blacklist を入手。

$ wget www.sshbl.org/lists/base.txt
$ head -n 2 base.txt
# sshbl.org
# Thu Jan 14 23:30:03 2010 CET

実行結果はこんな感じ。
少ない順にソートしてるので、tailで上位5位だけ。

$ cat base.txt | ./IpToCountryCount.pl | tail -n 5
DE : 35
IN : 35
KR : 59
US : 137
CN : 252

まぁ、予想通り。

手元のマシンでは?

pam_ablで弾いたホストをカウント。

これも昔書いたコードがあった。

#!/usr/bin/perl
#
# Filename: IpToCountryCount_pam_abl.pl
# pam_ablのログを標準入力から入力し
# IPアドレスと件数から、国ごとに数を数える
#
# 入力フォーマット
#     xxx.xxx.xxx.xxx (件数)
#         Blocking users [*]
#     yyy.yyy.yyy.yyy (件数)
#         Not blocking
#     zzz.zzz.zzz.zzz (件数)
#         Not blocking
#
 
use strict;
use Geo::IPfree;
 
my %MAP=();
 
my $GeoIP = Geo::IPfree->new('./IpToCountry.dat');
 
while (<>) {
    if ( /(\d+\.\d+\.\d+\.\d+) \((\d+)\)/ ) {
        my ($country,$country_name) = $GeoIP->LookUp($1);
        $MAP{$country}+=$2;
    }
}
 
my @keys = sort {
    $MAP{$a} <=> $MAP{$b}
}  keys %MAP;
 
foreach my $key (@keys) {
    print "$key : $MAP{$key}\n";
}

既に IpToCountry.dat はダウンロード済み(上記参照)。

で、実行結果はこんな感じ。
少ない順にソートしてるので、tailで上位10位だけ。

$ sudo /usr/sbin/pam_abl | ./IpToCountryCount_pam_abl.pl | tail -n 10
BD : 2971
NL : 3766
FR : 4476
HK : 5325
IN : 5678
ID : 10184
TW : 11511
US : 33391
KR : 34807
CN : 89490

件数は多いけど、pam_abl のデータはいつ purge したっけな? かなり経ってるはず。

トラックバック(0)

このブログ記事を参照しているブログ一覧: sshbl.org - (the SSH blacklist)

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/529

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2010年1月15日 08:14に書いたブログ記事です。

ひとつ前のブログ記事は「Wiresharkでリモートホストのパケットをキャプチャする (リモートキャプチャ)」です。

次のブログ記事は「第11回まっちゃ445勉強会」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261