Attaque sur serveur: Origine géographique.

Bonjour,

Il est possible d’évaluer d’où viennent les attaques sur le serveur SSH (le plus souvent tentatives de conection en root, soit le compte super administrateur des systèmes Linux). Le petit soft de bloquage des attaques, Fail2ban, indique l’IP d’origine. Cette IP est souvent celle de serveurs, donc on ne peut en déduire qui est réellement derriere.

Statistiquement, le pays winner dans l’hebergement de ces attaques est la Chine. Plus de 80% des alertes viennent de Chine. En terme d’IP différentes, la Chine ne représente que 50% des IP. Il semblerait que les serveurs chinois soient plus têtus dans leurs attaques.

Trouvé ce jour cet article intéressant sur le bruteforce SSH: de 2014!

 

Ensuite, il n’y a pas de domination franche, la Russie est loin derriere, j’ai autant de pays de l’UE que de Russes (Dannemark, Lituanie, Italie…).

Je n’en n’ai pas repéré des USA, pourtant eux aussi percent les serveurs. 😉

Sur le serveur nginx, là, c’est une autre affaire. A priori, les USA sont présentes…et la Chine absente:

Ici une attaque via scripts sur PHPmyadmin: Origine USA et tentative d’exploiter une faille pour shunter la difficulté du « brute-force » (tests des mots de passe sur dictionnaire)… (scripts ZMEU)

Edit: les attaques sur le blog « ado » lié à mon nom de domaine sont plus fréquentes que sur le blog principal 😮 et toutes originaires des USA.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *