Fail2Ban Reporting Service

Seit dem 08.11.2010 gibt es bei „inetnum“, „inet6num“ und „aut-num“ das Pflichtfeld/Object IRT-Object.

Dadurch gibt es nun bei allen IP-Adressen, die nicht bereits selbst ein IRT-Object verwenden das default-IRT-Object der APNIC:

irt:            IRT-APNIC-AP
address:        Brisbane, Australia
e-mail:         xxxxxx@apnic.net
abuse-mailbox:  abuse@apnic.net
admin-c:        HM20-AP
tech-c:         NO4-AP
auth:           MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks:        APNIC is a Regional Internet Registry.
remarks:        We do not operate the referring network and
remarks:        is unable to investigate complaints of network abuse.
remarks:        For more information, see www.apnic.net/irt
mnt-by:         APNIC-HM
changed:        hm-changed@apnic.net 20101111
source:         APNIC

Dadurch erhalten sehr viele Abuse-Teams wohl die Reports nicht, es sei denn die 
APNIC leitet die Reports weiter, was ich nicht vermute.

Fast alle (deutlich über 96%)  SSH-Angriffe des Abends kommen aus der LACNIC-Region.

Dabei fallen vier Provider besonders auf (evtl. sind sie sehr groß):

IP.TELMEXCHILE.CL
TELMEXLA.NET.CO

CABLE.NET.CO

Alle Angriffe werden natürlich sofort verarbeitet und gemeldet, allerdings
schätze ich die Erfolgschancen gering ein.
Wir sind gespannt auf Montag oder arbeiten die etwa am Wochenende (was
man beim Abuse-Department schon tun sollte).

Nach IP-Adressen sortiert:

1. 12162 RU
2. 7726 UA 
3. 6155 BR
4. 5843 IN
5. 5120 ID
6. 4950 VN
7. 4233 TH
8. 3748 US
9. 3211 PK
10. 2531 MA

Sortiert nach Anzahl der Angriffe:

1. 15939 RU
2. 10404 BR
3. 9422 UA
4. 8430 US
5. 6899 IN
6. 6759 ID
7. 5669 VN
8. 4754 IT
9. 4716 TH
10. 4399 CN