Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Tue, 02 Dec 2008 18:43:52 +0100
Daniel Caillibaud <ml@editionsdidier.com> a écrit:
> François Boisson a écrit :
> > sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u
> > | grep "[a-z]" > /tmp/domainesFAI
>
> je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas
> le même format de log, et seulement les ip, pas encore adapté ton script
> pour voir), mais du coup ça marche pas pour les domain.co.uk et tous les
> autres domain.sstld.tld (j'ai par exemple du .com.gh, m'enfin, si ça fait
> tous les autres, c'est déjà pas mal).
Tu peux faire un
whois > /tmp/IP
if grep -q abuse /tmp/IP ; then
ABUSE=`grep abuse /tmp/IP | grep abuse@ | awk '{print $3}' | head -n 1`
else
ABUSE=`grep @ /tmp/IP | head -n 1 | awk '{print $3}' `
fi
Mais les formats des whois varient...
François Boisson
Reply to: