|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Anton Yuzhaninov 2:5020/400 22 Feb 2007 20:30:37
To : Kir
Subject : Re: Как боpоться с виpyсами?
--------------------------------------------------------------------------------
Hello, Kir!
You wrote to Anton Yuzhaninov on Thu, 22 Feb 2007 07:53:00 +0000 (UTC):
YZ>>> То есть все pавно надо писать скpипт, котоpый на основании анализа
YZ>>> дампа, выдает IP котpый надо заблокиpовать? Или есть yже какие-то
YZ>>> наpаботки?
??>>
??>> Есть скрипт, который по логам ng_ipacct выявляет поведение,
??>> характерное для спам-ботов и машины зараженные почтовыми червями. Если
??>> надо, могу поделиться.
K> поделись пожалуйста. Или ссылку дай или
http://citrin.ru/my/find_spamers.pl
Hа stdin этого скрипта нужно подовать логи ng_ipacct в режиме verbose но без
saveuid и savetime
Сам скрипт делает только
ipfw table 2 add ip
в конфиг ipfw я добавляю руками но в принцпе несложно сделать, чтобы и туда
автоматом прописывался ip.
У меня логи разбиваются по файлам так что в каждом данные за один час и
каждый час из крона этот файл скармливается указанному выше скрипту:
#!/bin/sh
DIR=/var/log/ipacct
SDIR=`date -v-9M "+%Y-%m-%d"`
NAME=`date -v-9M "+%Y-%m-%d-%H"`
/root/scripts/find_spamers.pl < $DIR/$SDIR/$NAME
--
Anton Yuzhaninov, OSPF-RIPE, mail: citrin (at) citrin.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
