---

Hejsa,

Er der nogen der har lavet et script eller et program til at høste
ip-adresser fra logfiler og via smtp rapportere direkte til csirt.dk?

For ikke at opfinde den dybe tallerken igen, ville det være rart, hvis det
var gjort.

Max

---

Max Andersen wrote:
>
> Hejsa,
>
> Er der nogen der har lavet et script eller et program til at høste
> ip-adresser fra logfiler og via smtp rapportere direkte til csirt.dk?
>
> For ikke at opfinde den dybe tallerken igen, ville det være rart, hvis det
> var gjort.
>
> Max

Her er mit script til rapportering af nimda. Det sker ikke helt
direkte, men det kan nok nemt rettes til at opfylde dine ønsker.
Husk at rette afsender addressen inden du bruger det:

#!/bin/bash
unset LANG
TEMPFILE=ip.$$
cd /var/local/nimda
grep /scripts/ /var/log/httpd/access_log | cut -f1 -d' ' | sort -u >$TEMPFILE
for IP in $(comm -23 $TEMPFILE ip)
do
if whois $IP@whois.ripe.net | grep -q 'csirt@csirt.dk'
then
(
chmod 755 script.$IP.sh
chown kasperd script.$IP.sh
cat <<EOF
/usr/lib/sendmail csirt@csirt.dk <<EOF
Subject: $IP
From: Kasper Dupont <vevvaytgnvxbvtpvmqnsattzmcjttqmcxumlutpvtotxk@skrammel.yaboo.dk>
To: csirt@csirt.dk

Maskinen med IP addresse $IP er tilsyneladende inficeret med Nimda:

EOF
grep $IP /var/log/httpd/access_log
echo EOF
) >script.$IP.sh
fi
done
\mv $TEMPFILE ip

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D9C65D3.8779DBC8@daimi.au.dk...
>
---- snip en masse godt

> Her er mit script til rapportering af nimda. Det sker ikke helt
> direkte, men det kan nok nemt rettes til at opfylde dine ønsker.
> Husk at rette afsender addressen inden du bruger det:
>
---- snip en masse godt

Tak for det

Max