[linux] Re: Round up the usual suspects

Rob Sterenborg rob op sterenborg.info
Za Dec 16 10:19:28 CET 2006


linux-bounce op lists.nllgg.nl <> wrote:
> Hoi,
> 
> In een poging NL ISP's te wijzen op besmette machines op hun
> netwerk heb
> ik een scriptje gemaakt om de gebruikelijke verdachten op te
> pakken. Is al
> met al eigenlijk erg eenvoudig.
> 
> Ik zal er wellicht nog wat ISP's bij moeten plakken (suggesties?)
> maar het begin is er.
> 
> #!/bin/sh
> 
> DAG=`date -d yesterday "+%b %e"`
> DATUM=`date -d yesterday "+%e %B %Y"`
> FETCH="(is spam|reject:)"
> LOGFILE=/var/log/maillog
> SUSPECTS=/var/log/suspects
> 
> echo ""
> echo "Overzicht van de gebruikelijke verdachte machines van: ${DATUM}"
> echo "Wil elke ISP zijn/haar klanten de boel laten opruimen?"
> 
> grep "${DAG}" ${LOGFILE} | egrep "${FETCH}" > ${SUSPECTS}
> 
> echo ""
> echo "  @HOME:"
> grep "home.nl" ${SUSPECTS}
> 
> echo ""
> echo "  CHELLO:"
> grep "chello.nl" ${SUSPECTS}
> 
> echo ""
> echo "  PLANET:"
> grep "planet.nl" ${SUSPECTS}
> 
> echo ""
> echo "  XS4ALL:"
> grep "adsl.xs4all.nl" ${SUSPECTS}
> 
> # EOF

Dit lijkt me wel erg eenvoudig en misschien zie ik wat over het hoofd
maar voor mij werkt het niet helemaal goed. Bij jou misschien ook niet
(jij hebt ook backup MX-es van XS4ALL voor vanderkooij.xs4all.nl zien
ik).

Ik heb het script uitgeprobeert en het vind ook de "reject:" regels van
emails die via de backup smtp servers van XS4ALL worden verstuurd en
daar is XS4ALL niet voor verantwoordelijk. In suspects staat bijv:

Dec 15 22:36:09 miko postfix/smtpd[1574]: NOQUEUE: reject: RCPT from
bsmtp5.xs4all.nl[194.109.127.150]: 550 4.1.7 <smeaton58z op hotmail.com>:
Sender address rejected: undeliverable address: host
mx1.hotmail.com[65.54.244.8] said: 550 Requested action not taken:
mailbox unavailable (in reply to RCPT TO command);
from=<smeaton58z op hotmail.com> to=<rob op sterenborg.xs4all.nl> proto=ESMTP
helo=<bsmtp5.xs4all.nl>

Ik kom in DNS bsmtp.xs4all.nl en bsmtp0.xs4all.nl tot en met
bsmtp5.xs4all.nl tegen.
Je zou er bijv. het volgende aan toe kunnen voegen:

NOBSMTP="from bsmtp[0-5]{0,1}.xs4all.nl"
grep "${DAG}" ${LOGFILE} | egrep "${FETCH}" | egrep -v "${NOBSMTP}" \
  > ${SUSPECTS}

Of je zou de fake hotmail, yahoo, etc. sender domains moeten
uitfilteren, maar dat lijkt me nog minder betrouwbaar.

Mocht ik het verkeerd zien dan hoor ik het graag.


Groet,
Rob




More information about the Linux mailing list