François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et
mail [EMAIL PROTECTED] avec les lignes de logs) ?
J'utilise
LANG=en
DATEEN=$(date --date '1 days ago' '+%Y-%m-%d')
sed -ne "/$DATEEN/"' s/.*\[\([a-z-]\+\)\] Ban \([0-9\.]*\)$/\1 \2/p' <
/var/log/fail2ban.log |awk '
{ips[$1" "$2]++}
END {
for (ip in ips) {
print "echo \"" ips[ip] "\t" ip "\t$(host $(expr match \"" ip "\" \"[a-z]*
([0-9.]*)\"))\"";
}
}'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55
static-71-120-94-55.frstil.dsl-w.verizon.net.
4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer
nms.ghanatel.com.gh.
1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer
93-62-0-122.ip20.fastwebnet.it.
1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found:
3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand
chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à
grand chose.
Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip
do
echo -e "\n$ip :"
whois $ip |awk '/e-mail:/ {print $2}'|sort -u
done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
