Han transcurrido más de diez días desde que puse en funcionamiento mi sistema de detección y bloqueo de intrusos, con el cual he podido registrar un elevado número de ataques por día provenientes desde todo tipo de ubicaciones.

Contando con una muestra de mayor tamaño, tuve la idea de determinar el país de origen de la mayoría de los ataques. Para ello necesité determinar desde qué país proviene una dirección IP, y elaborar un pequeño script. Como muchos saben, me encanta picar números y analizar estadísticas.

fuckers.sh:

#!/bin/sh

cat /usr/local/GTFO/unbanned.ip | while read LINE; do
  ./ip-country.sh $LINE
  # Be gentle
  sleep 1
done | sort | uniq -c | sort -nr

Para cada IP registrada en la base de datos de direcciones IP desbloqueadas de GTFO, invoca al script ip-country para determinar su país de origen. Luego contabiliza la cantidad de apariciones de cada país (sort | uniq -c) y genera un ranking (sort -nr).

Este es el resultado de la corrida para la muestra actual, para cada país se muestra el número de direcciones IP únicas encontradas:

root@linuxito:~# ./fuckers.sh
     82 India
     43 Ukraine
     41 Philippines
     39 United States
     39 Spain
     29 Italy
     27 Romania
     27 Brazil
     25 France
     21 Poland
     18 Great Britain
     17 Malaysia
     16 Turkey
     16 Pakistan
     16 Indonesia
     16 Germany
     16 Argentina
     14 
     12 Netherlands
     12 Israel
     11 Saudi Arabia
     11 Bangladesh
     11 Algeria
     10 Switzerland
     10 Morocco
      9 Egypt
      9 Canada
      8 Portugal
      8 Korea, Republic of
      8 Hong kong
      8 Belgium
      7 Sri Lanka
      7 Russian Federation
      7 Hungary
      7 Greece
      7 Bulgaria
      7 Bosnia and Herzegovina
      7 Australia
      6 South Africa
      6 Mexico
      6 Denmark
      6 Czech Republic
      6 Croatia (Hrvatska)
      6 Austria
      5 Sweden
      5 Slovakia (Slovak Republic)
      5 Lithuania
      5 Japan
      5 China
      4 United Arab Emirates
      4 Thailand
      4 Singapore
      4 Norway
      4 Mauritius
      4 Georgia
      4 Colombia
      3 Viet Nam
      3 Tunisia
      3 Jamaica
      3 Iran, Islamic Republic of
      3 Finland
      3 Dominican Republic
      3 Chile
      2 Tanzania, United Republic of
      2 Taiwan, Province of China
      2 Slovenia
      2 Qatar
      2 Palestinian Territory, Occupied
      2 New Zealand
      2 Nepal
      2 Macedonia, the former Yugoslav Republic of
      2 Kuwait
      1 Venezuela
      1 Togo
      1 Syrian Arab Republic
      1 Somalia
      1 Senegal
      1 San Marino
      1 Saint Lucia
      1 Puerto Rico
      1 Peru
      1 Panama
      1 Nigeria
      1 Namibia
      1 Mongolia
      1 Moldova, Republic of
      1 Jordan
      1 Ireland
      1 Iceland
      1 Haiti
      1 Ghana
      1 Cote D'Ivoire (Ivory Coast)
      1 Costa Rica
      1 Cameroon
      1 Cambodia, Kingdom of
      1 Brunei Darussalam
      1 Belize
      1 Bahrain
      1 Antigua and Barbuda
      1 Albania
      1 (user-assigned)

Tres cosas me llaman la atención. Primero, me sorprende la cantidad de ataques provenientes desde Ucrania. Es una constante recibir ataques desde este país. Aparentemente tienen una cultura de security hacking muy grande. Recuerden que hace poco dejaron una ciudad sin energía eléctrica, robaron 10 millones de dólares a un banco y filtraron correos electrónicos nada más y nada menos que de Vladimir Putin. Digamos que son unos muchachos bastante peligrosos.

Lo segundo es ver a Argentina bastante cerca del tope del ranking, lo cual me genera sentimientos encontrados. Me alegra ver que la cultura de cyberhacking está floreciendo en el país, y al mismo tiempo me da pena que se quieran cargar un sitio que ofrece información útil de forma desinteresada (y para colmo de un compatriota).

Tercero (y esto es lo que más me llama la atención), los rusos ni pasan por acá. Parece que la mala fama de los rusos no es más que un mito. O tal vez son lo suficientemente decentes en lo suyo, como para no "escrachar" sus direcciones IP (¿se estarán haciendo pasar por indios o ucranianos tal vez?).

Espero que este artículo sirva para generar consciencia acerca de la seguridad informática y ver los peligros de poner un servidor en Internet, es decir, estar expuesto de manera constante, e ininterrumpida, a una avalancha de ataques ("están tirando con de todo").


Tal vez pueda interesarte


Compartí este artículo