Bonjour à tou(te)s !

Récemment, je suis tombé sur un excellent lien dans le forum xivo sur un module qui permet de bloquer des liste d'ip (https://blog.laimbock.com/2013/09/22...tables-on-el6/) et donc, des pays. Le gros avantage de ipset, c'est qu'il utilise en interne des hash tables, et donc, excellente performance apparemment (cf http://daemonkeeper.net/781/mass-blo...es-with-ipset/ )

J'ai donc un peu creusé la question de l'origine des ip des scammers... j'ai pris les logs de 3 serveurs, sur 30 jours, et j'ai analysé la répartition géographique de chaque IP (dans les résultats à suivre, une IP compte une seule fois par machine, même si elle a fait de multiples tentatives sur cette machine).

Winner toute catégorie: US, 44% des scanners (merci amazon), puis la jolie patrie d'Angela, DE: 30%, et la France, 9% (merci online majoritairement). A noter aussi que sur les 756 hits sur les 3 machines, on a en fait que 366 ip distinctes, car 151 ip ont tapé les 3 machines, 88 ont tapé 2 machines, et 127 une seule (les machines ont des ip, localisation et isp vraiment différents). Le honey pot est peut être pas si bête.

Au passage, ipset est vraiment simple à mettre en route, j'ai fait ça sur un centos 7.2 en 2h à peine (et je redécouvre centos à cette occasion....)

Les résultats complets:

Code:
336	country = US	44,4%
232	country = DE	30,7%
68	country = FR	9,0%
19	country = RU	2,5%
14	country = LT	1,9%
10	country = CN	1,3%
9	country = AU	1,2%
9	country = CA	1,2%
9	country = GB	1,2%
7	country = IN	0,9%
7	country = NL	0,9%
5	country = UA	0,7%
3	country = BR	0,4%
3	country = CO	0,4%
3	country = HK	0,4%
3	country = ID	0,4%
3	country = LI	0,4%
3	country = NO	0,4%
2	country = PK	0,3%
2	country = SG	0,3%
1	country = BG	0,1%
1	country = IR	0,1%
1	country = IT	0,1%
1	country = LV	0,1%
1	country = MX	0,1%
1	country = PH	0,1%
1	country = PS	0,1%
1	country = QA	0,1%
1	country = TW	0,1%
		
756