kiltum (kiltum) wrote,
kiltum
kiltum

Захотел я тут узнать, чего у меня творится в сети. В сеть смотреть лень, поэтому полез анализировть логи файрволла. Собираем все логи в файлик msg

Они у меня ведутся в формате

Feb 5 11:46:56 multik kernel: STRANGER IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:09:27:39:14:08:00 SRC=216.55.162.38 DST=255.255.255.255 LEN=148 TOS=0x00 PREC=0x00 TTL=128 ID=17175 PROTO=UDP SPT=1048 DPT=4991 LEN=128

Итак, самые плохие машины.

cat msg | grep STRANGER|awk '{print $10}'|sort|uniq -c|sort -n -r
  31563 DST=83.237.13.53
  27435 DST=83.237.13.80
  27117 DST=83.237.13.250
  15054 DST=83.237.61.22
   7787 DST=83.237.208.36
   7302 DST=83.237.13.149
   5177 DST=83.237.228.85
   4826 DST=83.237.13.225
   3949 DST=83.237.13.100
   3329 DST=83.237.13.97
   3047 DST=83.237.61.48
   2158 DST=83.237.13.141
   1981 DST=83.237.13.170
   1826 DST=83.237.13.217
   1489 DST=83.237.195.105
   1358 DST=83.237.13.22
   1041 DST=83.237.228.186
    957 DST=83.237.13.254
    880 DST=83.237.61.114
    785 DST=83.237.61.239
    755 DST=83.237.13.107
    475 DST=83.237.195.241
    466 DST=83.237.195.79
    435 DST=83.237.13.177
    415 DST=83.237.13.179
    413 DST=83.237.228.38
    412 DST=83.237.208.233
    366 DST=83.237.195.130
    329 DST=83.237.61.53
    222 DST=83.237.195.149
    194 DST=83.237.228.236
    191 DST=83.237.228.78
     53 DST=83.237.13.102
     21 DST=83.237.208.240
      9 DST=83.237.195.108
      3 DST=83.237.208.88

Сюрприз, сюрприз - все машины стримовские. Очень странно. Но у меня есть еще одна машина - насобираю там логи, погляжу ...

cat msg | grep STRANGER|awk '{print $19}'|sort|uniq -c|sort -n -r

Получается много. Смотрим и обнаруживаем, что народ пробет все порты. Ниже 20ка наиболее популярных.
  52562 DPT=4662
  29645 DPT=6882
   7969 DPT=4672
   6867 DPT=6881
   3959 DPT=6883
   2940 DPT=7474
   2162 DPT=6346
   1064 DPT=2745
    923 DPT=2706
    789 DPT=19016
    666 DPT=1025
    655 DPT=4661
    534 DPT=7982
    485 DPT=15118
    399 DPT=25320
    390 DPT=1026
    385 DPT=53
    325 DPT=1027
    242 DPT=4899
    227 DPT=5000
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 2 comments