François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives.

Tu as un script partageable pour faire ça (récup des ips, du fai concerné et 
mail [EMAIL PROTECTED] avec les lignes de logs) ?

J'utilise

LANG=en
DATEEN=$(date --date '1 days ago' '+%Y-%m-%d')
sed -ne "/$DATEEN/"' s/.*\[\([a-z-]\+\)\] Ban \([0-9\.]*\)$/\1 \2/p' < 
/var/log/fail2ban.log |awk '
    {ips[$1" "$2]++}
    END {
      for (ip in ips) {
        print "echo \"" ips[ip] "\t" ip "\t$(host $(expr match \"" ip "\" \"[a-z]* 
([0-9.]*)\"))\"";
      }
    }'|sort -r -k 1|sh

qui me sort une liste du genre

10      dovecot-auth 71.120.94.55       
static-71-120-94-55.frstil.dsl-w.verizon.net.
4       ssh 80.87.64.115        115.64.87.80.in-addr.arpa domain name pointer 
nms.ghanatel.com.gh.
1       ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 
93-62-0-122.ip20.fastwebnet.it.
1       ssh 85.183.246.35       Host 35.246.183.85.in-addr.arpa. not found: 
3(NXDOMAIN)

mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand 
chose.

Tu fais un whois sur l'ip pour récupérer les mails ?

Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à 
grand chose.
Et un host sur l'ip ne remonte pas toujours un fqdn.

J'ai regardé ce que donnait

while read ip
do
  echo -e "\n$ip :"
  whois $ip |awk '/e-mail:/ {print $2}'|sort -u
done < ip_penibles.list

mais j'ai des mails @ripe et pas mal de non-réponse.

Je suppose que tu as automatisé la chose un peu mieux...

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Répondre à