Топ 10 забаненных fail2ban негодяев, часть вторая, итоги месяца

В недавнем посте я выложил однострочный скрипт, который позволяет посмотреть насколько высок интерес к вашему серверу со стороны брутфорсеров. Но тут до меня дошло, что этот подсчет хоть и интересен, но происходит за очень короткий срок (у кого как, все зависит от графика ротации логов и скорости их наполнения), в общем все интересное может оказаться уже в архивах.
Посидел я, подумал, и написал 2х строчный скрипт который позволяет подсчитать брутфорсеров в уже ротированных логах.

rm -rf /tmp/fail2banlog | mkdir /tmp/fail2banlog | cp `ls /var/log/fail2ban*` /tmp/fail2banlog | cd /tmp/fail2banlog | ls *.gz | while read i; do gzip -d $i; done; cat fail2ban.log* | grep Ban | awk '{print $7}' | sort -nr | uniq -c | sort -nr | head -n10

Копируем, вставляем прямо в консоль, и получаем топ 10 ip адресов пытавшихся подобрать пароль к серверу за все время логирования.

Опишу в кратце что делает скрипт. Он создает папку в /temp, копирует в нее все логи fail2ban, те что в архивах, он распаковывает. Затем сливает все логи в один большой лог, а уже из него из него делает ранжирование и строит топ.

Вот что получилось у меня после его отработки:

29 35.9.175.45
5 79.188.124.242
5 37.52.18.174
4 202.165.185.203
3 213.0.180.23
2 95.132.236.182
2 95.132.0.244
2 70.103.198.101
2 60.12.251.5
2 37.54.20.28

На первом месте ip 35.9.175.45 с 29 попытками подбора. При всем при этом, время блокировки у меня стоит 60 минут, а количество попыток до бана равное трем. Это получается что было сделано 87 переборов, длинною 29 часов. Кто то сильно замарочился )))

Смотрите так же:

Топ 10 забаненных fail2ban негодяев, часть вторая, итоги месяца: 2 комментария

  1. Порт поменяй на нестандартный и забудь про всю эту лажу! Банить, конечно, полезно, но зачем вообще позволять сканерам насиловать твой трафик?

    1. У меня авторизация только по сертификатам, так что проблемы с безопасностью нет. С трафиком тоже проблем нет, загрузку каналов отслеживает зиибикс, а вот статистика очень интересная, все адреса проверяются по гео ip и местные пробиваются через whois.

      Смена же порта помогает только от китайцев, которых обычно банят всей региональной подсетью, оп крайней мере на работе у меня так.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.