Attention : j'ai publié cet article sur fr.comp.developpement et
fr.comp.securite.virus, je n'ai pas fixé de redirection pour vos réponses.
Bonsoir
Mon FSI intercepte pour moi une bonne cinquantaine de virus par
jour.
Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la
notification à la recherche du deuxième received :
Received: from xxxxxx.xx (unknown [81.185.96.62])
by xxxxx.xxxx.xx (Postfix) with SMTP id 78D4C45128;
Mon, 6 Dec 2004 22:59:56 +0100 (CET)
en extrait l'IP de la machine contaminée : 81.185.96.62
effectue un whois et soit envoie une notification si l'adresse est dans une
plage référencée soit me propose de mettre à jour la référence de plage
(table externe) en fonction d'adresses e-mail proposées par la table whois.
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles
sont les lignes que je dois chercher en priorité dans les informations
retournées par une requête whois.
J'ai déjà programmé en C et Ada, j'ai déjà survolé du Python (proche d'Ada),
je ne me suis jamais penché sur Perl. Accessoirement si je dois le coder en
obtenant un résultat fonctionnel le plus rapidement possible, que me
conseillez-vous ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Frederic Bonroy
christophe Raverdy wrote:
Mon FSI intercepte pour moi une bonne cinquantaine de virus par jour.
Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous parlez du deuxième "received" en partant du haut ou en partant du bas? Du haut je comprends éventuellement, cela doit dépendre de votre configuration, du bas je ne vois pas.
Received: from xxxxxx.xx (unknown [81.185.96.62]) by xxxxx.xxxx.xx (Postfix) with SMTP id 78D4C45128; Mon, 6 Dec 2004 22:59:56 +0100 (CET)
en extrait l'IP de la machine contaminée : 81.185.96.62
Une fois que vous avez trouvé le received qui vous intéresse, je suppose qu'il est sage de chercher:
- soit une paire de parenthèses contenant un chiffre qui indique le début de l'adresse comme ici:
Received: from 217.234.241.251 (HELO xejbbuu.de) (217.234.241.251) by mta139.mail.sc5.yahoo.com with SMTP; Sun, 05 Dec 2004 23:27:13 -0800
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre exemple. Ensuite pour extraire l'IP c'est fastoche.
effectue un whois et soit envoie une notification si l'adresse est dans une plage référencée soit me propose de mettre à jour la référence de plage (table externe) en fonction d'adresses e-mail proposées par la table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage référencée? C'est vous qui décidez quelle est cette plage je suppose, et lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans cette plage sans passer par whois. Et pourquoi rechercher des adresses email?
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles sont les lignes que je dois chercher en priorité dans les informations retournées par une requête whois.
Alors là...
christophe Raverdy wrote:
Mon FSI intercepte pour moi une bonne cinquantaine de virus par
jour.
Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la
notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous
parlez du deuxième "received" en partant du haut ou en partant du bas?
Du haut je comprends éventuellement, cela doit dépendre de votre
configuration, du bas je ne vois pas.
Received: from xxxxxx.xx (unknown [81.185.96.62])
by xxxxx.xxxx.xx (Postfix) with SMTP id 78D4C45128;
Mon, 6 Dec 2004 22:59:56 +0100 (CET)
en extrait l'IP de la machine contaminée : 81.185.96.62
Une fois que vous avez trouvé le received qui vous intéresse, je suppose
qu'il est sage de chercher:
- soit une paire de parenthèses contenant un chiffre qui indique le
début de l'adresse comme ici:
Received: from 217.234.241.251 (HELO xejbbuu.de) (217.234.241.251)
by mta139.mail.sc5.yahoo.com with SMTP; Sun, 05 Dec 2004 23:27:13 -0800
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre
exemple. Ensuite pour extraire l'IP c'est fastoche.
effectue un whois et soit envoie une notification si l'adresse est dans une
plage référencée soit me propose de mettre à jour la référence de plage
(table externe) en fonction d'adresses e-mail proposées par la table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage
référencée? C'est vous qui décidez quelle est cette plage je suppose, et
lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans
cette plage sans passer par whois. Et pourquoi rechercher des adresses
email?
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles
sont les lignes que je dois chercher en priorité dans les informations
retournées par une requête whois.
Mon FSI intercepte pour moi une bonne cinquantaine de virus par jour.
Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous parlez du deuxième "received" en partant du haut ou en partant du bas? Du haut je comprends éventuellement, cela doit dépendre de votre configuration, du bas je ne vois pas.
Received: from xxxxxx.xx (unknown [81.185.96.62]) by xxxxx.xxxx.xx (Postfix) with SMTP id 78D4C45128; Mon, 6 Dec 2004 22:59:56 +0100 (CET)
en extrait l'IP de la machine contaminée : 81.185.96.62
Une fois que vous avez trouvé le received qui vous intéresse, je suppose qu'il est sage de chercher:
- soit une paire de parenthèses contenant un chiffre qui indique le début de l'adresse comme ici:
Received: from 217.234.241.251 (HELO xejbbuu.de) (217.234.241.251) by mta139.mail.sc5.yahoo.com with SMTP; Sun, 05 Dec 2004 23:27:13 -0800
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre exemple. Ensuite pour extraire l'IP c'est fastoche.
effectue un whois et soit envoie une notification si l'adresse est dans une plage référencée soit me propose de mettre à jour la référence de plage (table externe) en fonction d'adresses e-mail proposées par la table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage référencée? C'est vous qui décidez quelle est cette plage je suppose, et lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans cette plage sans passer par whois. Et pourquoi rechercher des adresses email?
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles sont les lignes que je dois chercher en priorité dans les informations retournées par une requête whois.
Alors là...
christophe Raverdy
[J'ai suivi la redirection mais je ne suis pas certain que l'on soit vraiment le plus en thème ici]
Frederic Bonroy a écrit:
Mon FSI intercepte pour moi une bonne cinquantaine de virus par jour. Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous parlez du deuxième "received" en partant du haut ou en partant du bas? Du haut je comprends éventuellement, cela doit dépendre de votre configuration, du bas je ne vois pas.
Je m'intéresse au corps du message envoyé par mon FSI : Après le message "en clair", il y a les en-têtes techniques :)
Il y a deux machines concernées chez mon FSI.
La première (branchée sur l'extérieur) correspond à l'antivirus, il y a ensuite une deuxième machine qui elle se charge de délivrer les courriels.
C'est la première machine qui dans le received comporte l'adresse IP qui a établi un contact SMTP. Ce qui correspond au deuxième received, seul intéressant, que j'avais inclus dans mon article.
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre exemple. Ensuite pour extraire l'IP c'est fastoche.
Effectivement. Mon FSI présente toujours sous cette dernière forme.
effectue un whois et soit envoie une notification si l'adresse est dans une plage référencée soit me propose de mettre à jour la référence de plage (table externe) en fonction d'adresses e-mail proposées par la table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage référencée? C'est vous qui décidez quelle est cette plage je suppose, et lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans cette plage sans passer par whois. Et pourquoi rechercher des adresses email?
2 intérêts : La plupart des virus proviennent de Free et Wanadoo. L'idée est d'envoyer une notification propre à chaque abuse avec dans un seul message toutes les notifications qui le concernent. Eventuellement, faire des statistiques sur les adresses IP afin de déterminer si le FAI est réactif ou non.
Comme l'adresse de l'abuse peut varier (c'est une supposition) je préferais avoir une table associée qui pour un "identifiant" inetnum me donnerait l'adresse e-mail kivabien
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles sont les lignes que je dois chercher en priorité dans les informations retournées par une requête whois.
Alors là...
L'idée était que compte-tenu du fait des "irresponsables" ont accès à l'adsl et qu'à première vue les FAI se fichent de ce qui passe dans leurs tuyaux tant qu'il ne s'agit pas de mp3, il y aura bien des gens fatigués de recevoir des virus (ou notifications) ou de faire des recherches pour prévenir les FAI des personnes infectées.
J'arrive déjà par sript à invoquer whois et à récupérer le résultat dans un fichier, en me basant sur un programme comme usevote, je pense que je ne devrais pas avoir trop de problèmes à m'en sortir.
En tous cas ce sera mieux que les antivirus qui envoient une notification en se basant sur le champ From.
-- christophe
[J'ai suivi la redirection mais je ne suis pas certain que l'on soit
vraiment le plus en thème ici]
Frederic Bonroy a écrit:
Mon FSI intercepte pour moi une bonne cinquantaine de virus par
jour. Dans la mesure où je fatigue, j'aurais aimé faire un script qui
parcourt la notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous
parlez du deuxième "received" en partant du haut ou en partant du bas?
Du haut je comprends éventuellement, cela doit dépendre de votre
configuration, du bas je ne vois pas.
Je m'intéresse au corps du message envoyé par mon FSI : Après le message "en
clair", il y a les en-têtes techniques :)
Il y a deux machines concernées chez mon FSI.
La première (branchée sur l'extérieur) correspond à l'antivirus, il y a
ensuite une deuxième machine qui elle se charge de délivrer les courriels.
C'est la première machine qui dans le received comporte l'adresse IP qui a
établi un contact SMTP. Ce qui correspond au deuxième received, seul
intéressant, que j'avais inclus dans mon article.
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre
exemple. Ensuite pour extraire l'IP c'est fastoche.
Effectivement. Mon FSI présente toujours sous cette dernière forme.
effectue un whois et soit envoie une notification si l'adresse est dans
une plage référencée soit me propose de mettre à jour la référence de
plage (table externe) en fonction d'adresses e-mail proposées par la
table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage
référencée? C'est vous qui décidez quelle est cette plage je suppose, et
lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans
cette plage sans passer par whois. Et pourquoi rechercher des adresses
email?
2 intérêts : La plupart des virus proviennent de Free et Wanadoo. L'idée est
d'envoyer une notification propre à chaque abuse avec dans un seul message
toutes les notifications qui le concernent. Eventuellement, faire des
statistiques sur les adresses IP afin de déterminer si le FAI est réactif
ou non.
Comme l'adresse de l'abuse peut varier (c'est une supposition) je préferais
avoir une table associée qui pour un "identifiant" inetnum me donnerait
l'adresse e-mail kivabien
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles
sont les lignes que je dois chercher en priorité dans les informations
retournées par une requête whois.
Alors là...
L'idée était que compte-tenu du fait des "irresponsables" ont accès à l'adsl
et qu'à première vue les FAI se fichent de ce qui passe dans leurs tuyaux
tant qu'il ne s'agit pas de mp3, il y aura bien des gens fatigués de
recevoir des virus (ou notifications) ou de faire des recherches pour
prévenir les FAI des personnes infectées.
J'arrive déjà par sript à invoquer whois et à récupérer le résultat dans un
fichier, en me basant sur un programme comme usevote, je pense que je ne
devrais pas avoir trop de problèmes à m'en sortir.
En tous cas ce sera mieux que les antivirus qui envoient une notification en
se basant sur le champ From.
[J'ai suivi la redirection mais je ne suis pas certain que l'on soit vraiment le plus en thème ici]
Frederic Bonroy a écrit:
Mon FSI intercepte pour moi une bonne cinquantaine de virus par jour. Dans la mesure où je fatigue, j'aurais aimé faire un script qui parcourt la notification à la recherche du deuxième received :
Pourquoi le deuxième? Le nombre de "received" est variable... vous parlez du deuxième "received" en partant du haut ou en partant du bas? Du haut je comprends éventuellement, cela doit dépendre de votre configuration, du bas je ne vois pas.
Je m'intéresse au corps du message envoyé par mon FSI : Après le message "en clair", il y a les en-têtes techniques :)
Il y a deux machines concernées chez mon FSI.
La première (branchée sur l'extérieur) correspond à l'antivirus, il y a ensuite une deuxième machine qui elle se charge de délivrer les courriels.
C'est la première machine qui dans le received comporte l'adresse IP qui a établi un contact SMTP. Ce qui correspond au deuxième received, seul intéressant, que j'avais inclus dans mon article.
- soit un crochet ouvert "[" suivi d'un chiffre comme dans votre exemple. Ensuite pour extraire l'IP c'est fastoche.
Effectivement. Mon FSI présente toujours sous cette dernière forme.
effectue un whois et soit envoie une notification si l'adresse est dans une plage référencée soit me propose de mettre à jour la référence de plage (table externe) en fonction d'adresses e-mail proposées par la table whois.
Pourquoi faire un whois pour savoir si l'adresse est dans une plage référencée? C'est vous qui décidez quelle est cette plage je suppose, et lorsque vous connaissez l'IP vous pouvez vérifier si elle se trouve dans cette plage sans passer par whois. Et pourquoi rechercher des adresses email?
2 intérêts : La plupart des virus proviennent de Free et Wanadoo. L'idée est d'envoyer une notification propre à chaque abuse avec dans un seul message toutes les notifications qui le concernent. Eventuellement, faire des statistiques sur les adresses IP afin de déterminer si le FAI est réactif ou non.
Comme l'adresse de l'abuse peut varier (c'est une supposition) je préferais avoir une table associée qui pour un "identifiant" inetnum me donnerait l'adresse e-mail kivabien
J'aurais aimé savoir si ce genre de script existe déjà et si non quelles sont les lignes que je dois chercher en priorité dans les informations retournées par une requête whois.
Alors là...
L'idée était que compte-tenu du fait des "irresponsables" ont accès à l'adsl et qu'à première vue les FAI se fichent de ce qui passe dans leurs tuyaux tant qu'il ne s'agit pas de mp3, il y aura bien des gens fatigués de recevoir des virus (ou notifications) ou de faire des recherches pour prévenir les FAI des personnes infectées.
J'arrive déjà par sript à invoquer whois et à récupérer le résultat dans un fichier, en me basant sur un programme comme usevote, je pense que je ne devrais pas avoir trop de problèmes à m'en sortir.
En tous cas ce sera mieux que les antivirus qui envoient une notification en se basant sur le champ From.
