François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et mail abuse@fai avec les lignes de logs) ? J'utilise LANG=en DATEEN=$(date --date '1 days ago' '+%Y-%m-%d') sed -ne "/$DATEEN/"' s/.*\[\([a-z-]\+\)\] Ban \([0-9\.]*\)$/\1 \2/p' < /var/log/fail2ban.log |awk ' {ips[$1" "$2]++} END { for (ip in ips) { print "echo \"" ips[ip] "\t" ip "\t$(host $(expr match \"" ip "\" \"[a-z]* ([0-9.]*)\"))\""; } }'|sort -r -k 1|sh qui me sort une liste du genre 10 dovecot-auth 71.120.94.55 static-71-120-94-55.frstil.dsl-w.verizon.net. 4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer nms.ghanatel.com.gh. 1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 93-62-0-122.ip20.fastwebnet.it. 1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found: 3(NXDOMAIN) mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand chose. Tu fais un whois sur l'ip pour récupérer les mails ? Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à grand chose. Et un host sur l'ip ne remonte pas toujours un fqdn. J'ai regardé ce que donnait while read ip do echo -e "\n$ip :" whois $ip |awk '/e-mail:/ {print $2}'|sort -u done < ip_penibles.list mais j'ai des mails @ripe et pas mal de non-réponse. Je suppose que tu as automatisé la chose un peu mieux... -- Daniel