François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et mail abuse@fai avec les lignes de logs) ?
J'utilise
LANG=en
DATEEN=$(date --date '1 days ago' '+%Y-%m-%d')
sed -ne "/$DATEEN/"' s/.*\[\([a-z-]\+\)\] Ban \([0-9\.]*\)$/\1 \2/p' < /var/log/fail2ban.log |awk '
{ips[$1" "$2]++}
END {
for (ip in ips) {
print "echo \"" ips[ip] "\t" ip "\t$(host $(expr match \"" ip "\" \"[a-z]* ([0-9.]*)\"))\"";
}
}'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55 static-71-120-94-55.frstil.dsl-w.verizon.net.
4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer nms.ghanatel.com.gh.
1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 93-62-0-122.ip20.fastwebnet.it.
1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found: 3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à grand chose.
Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip
do
echo -e "\n$ip :"
whois $ip |awk '/e-mail:/ {print $2}'|sort -u
done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
--
Daniel