[linux] meetpunten gezocht

Hugo van der Kooij hvdkooij op vanderkooij.org
Vr Jun 8 00:23:20 CEST 2007 

Hoi,

Ik probeer om nieuwe popup messages waarblijkbaar nog steeds bosjes mensen 
in trappen zo snel mogelijk detecteren. De messages worden met een 
enkelvoudig UDP packet op poort 1026 afgevuurd.

Ik heb nu een paar machines staan die specifiek op UDP poort 1026 mee 
snifferen in diverse netwerken en hun dagelijkse rapport uitbrengen.
Daarmee hou ik http://www.viruspool.net/blacklist.cms up-to-date.

Maar sinds ik van oud naar nieuw blok ben gegaan zie ik minder van dit 
soort packets. Om het net zo wijd mogelijk te gooien is het dus handig om 
meer meetpunten in kabelnetwerken en andere DSL providers te hebben.

Op dit moment is het niet spannender dan:
#!/bin/sh
WORKDIR=/var/catch-1026
DATUM=`date +%Y%m%d`
GISTEREN=`date -d yesterday +%Y%m%d`
killall -q tcpdump
/usr/sbin/tcpdump -l -s 1500 -w ${WORKDIR}/${DATUM}.cap udp dst port 1026
/usr/local/bin/parse-cap -f ${WORKDIR}/${GISTEREN}.cap
# EOF

Dit werkt zelfs met een blocking policy op die poort van de meet machine 
zelf.

En parse-cap is het perl script wat alle bekende packets al in tabellen 
zet tot iets als:

         Reporting unknown entries:



         Reporting known entries:

msreg.com:                     10
regproscan.com:                 9
scanpcnow.com:                  3

Het is mij om het even of iemand wel of niet de parser wil draaien of 
alleen een capture file wil sturen. De parser is een perl script met wat 
afhankelijkheden die niet iedereen aan boord heeft maar wel ververst moet 
worden als er weer nieuwe popup spam op duikt en bekend is.

Als iemand belangstelling heeft dan hoor ik het wel. De info uitwisseling 
werk ik per geval wel uit aan de hand van de voorkeur.

Op dit moment heb ik covering voor de netwerken:
  1x 80.69.95.128/25 (TransIP A'dam)
  1x 82.95.0.0/16 (XS4ALL)
  1x 84.244.132.0/24 (WeDare R'dam)


Hugo.

-- 
 	hvdkooij op vanderkooij.org	http://hugo.vanderkooij.org/
 	    This message is using 100% recycled electrons.

 	Some men see computers as they are and say "Windows"
 	I use computers with Linux and say "Why Windows?"
 		(Thanks JFK, for the insight.)

More information about the Linux mailing list