[linux] Re: Round up the usual suspects

Hugo van der Kooij hvdkooij op vanderkooij.org
Za Dec 16 11:21:44 CET 2006


On Sat, 16 Dec 2006, Rob Sterenborg wrote:

> linux-bounce op lists.nllgg.nl <> wrote:
>>
>> In een poging NL ISP's te wijzen op besmette machines op hun
>> netwerk heb
>> ik een scriptje gemaakt om de gebruikelijke verdachten op te
>> pakken. Is al
>> met al eigenlijk erg eenvoudig.
>>
>> Ik zal er wellicht nog wat ISP's bij moeten plakken (suggesties?)
>> maar het begin is er.
>>
>> #!/bin/sh
>>
>> DAG=`date -d yesterday "+%b %e"`
>> DATUM=`date -d yesterday "+%e %B %Y"`
>> FETCH="(is spam|reject:)"

Vangt alleen rejects en SPAM regels in de log. Daar kijk je wellicht 
overheen.

>> LOGFILE=/var/log/maillog
>> SUSPECTS=/var/log/suspects
>>
>> echo ""
>> echo "Overzicht van de gebruikelijke verdachte machines van: ${DATUM}"
>> echo "Wil elke ISP zijn/haar klanten de boel laten opruimen?"
>>
>> grep "${DAG}" ${LOGFILE} | egrep "${FETCH}" > ${SUSPECTS}
>>
>> echo ""
>> echo "  @HOME:"
>> grep "home.nl" ${SUSPECTS}
>>
>> echo ""
>> echo "  CHELLO:"
>> grep "chello.nl" ${SUSPECTS}
>>
>> echo ""
>> echo "  PLANET:"
>> grep "planet.nl" ${SUSPECTS}
>>
>> echo ""
>> echo "  XS4ALL:"
>> grep "adsl.xs4all.nl" ${SUSPECTS}
>>
>> # EOF
>
> Dit lijkt me wel erg eenvoudig en misschien zie ik wat over het hoofd
> maar voor mij werkt het niet helemaal goed. Bij jou misschien ook niet
> (jij hebt ook backup MX-es van XS4ALL voor vanderkooij.xs4all.nl zien
> ik).

Geen idee wie dit is. Maar het is niet van mij.

> Ik heb het script uitgeprobeert en het vind ook de "reject:" regels van
> emails die via de backup smtp servers van XS4ALL worden verstuurd en
> daar is XS4ALL niet voor verantwoordelijk. In suspects staat bijv:
>
> Dec 15 22:36:09 miko postfix/smtpd[1574]: NOQUEUE: reject: RCPT from
> bsmtp5.xs4all.nl[194.109.127.150]: 550 4.1.7 <smeaton58z op hotmail.com>:
> Sender address rejected: undeliverable address: host
> mx1.hotmail.com[65.54.244.8] said: 550 Requested action not taken:
> mailbox unavailable (in reply to RCPT TO command);
> from=<smeaton58z op hotmail.com> to=<rob op sterenborg.xs4all.nl> proto=ESMTP
> helo=<bsmtp5.xs4all.nl>

Tja. Behalve de XS4ALL nieuwsbrief is mijn XS4ALL account alleen bedoeld 
als vangbak voor spam. Prima leerstof voor spamassassin. Dat scheelt me 
een hoop van dit soort kopzorgen.

Maar ik vang alleen de ADSL gebruikers die geen aangepaste hostnaam hebben 
bij XS4ALL. grep "adsl.xs4all.nl" regelt dat. De suspects file is slechts 
stap 1. Daar moet je nog verder op filteren en dat doet het tweede (en 
grootste) deel dus.

En nog wat extra netwerken:

echo "  CASEMA <abuse op casema.nl>:"
grep "cable.casema.nl" ${SUSPECTS}

echo "  DIRECT ADSL <abuse op direct-adsl.nl>:"
grep "direct-adsl.nl" ${SUSPECTS}

echo "  HET NET <abuse op hetnet.nl>:"
grep "adsl-surfen.hetnet.nl" ${SUSPECTS}

echo "  QUICKNET <abuse op quicknet.nl>:"
grep "cable.quicknet.nl" ${SUSPECTS}

echo "  WANADOO <abuse op wanadoo.nl>:"
grep "adsl.wanadoo.nl" ${SUSPECTS}

En per dag levert dat soms ook lege blokken op. Zowel XS4ALL als Wanadoo 
hadden maar 1 incident de afgelopen week. @home, Chello en hetnet zijn een 
heel ander verhaal.

Gisteren:
         @HOME <abuse op home.nl>: 10
         CASEMA <abuse op casema.nl>: 0
         CHELLO <abuse op chello.nl>: 7
         DIRECT ADSL <abuse op direct-adsl.nl>: 3
         HET NET <abuse op hetnet.nl>: 18
         PLANET <abuse op planet.nl>: 1
         QUICKNET <abuse op quicknet.nl>: 1
         WANADOO <abuse op wanadoo.nl>: 0
         XS4ALL <abuse op xs4all.nl>: 0

Hugo.

-- 
 	hvdkooij op vanderkooij.org	http://hvdkooij.xs4all.nl/
 	    This message is using 100% recycled electrons.



More information about the Linux mailing list