Brutale Art ein Botnetz aus zu sperren. Dies sollte man nicht auf einem Server mit Kunden machen. Das kann zu erheblichem Ärger führen. Diesen Code wende ich Privat und auf einem Server mit meinen Privaten Email Adressen an. Botnet Attacke auswerten und in Datei schrieben. egrep 'NOQUEUE: reject:.*\[([0-9]{1,3}\.){3}[0-9]{1,3}\]:.*(User unknown|blocked using|cannot find).*to=<.*@ortizclan\.de>' mail.log| tr "][" "\t" | cut -d $'\t' -f4 | sort | uniq > Botnet_for_ortizclan.txt Schön ist es natürlich das ganze noch mit logtail zu verbinden. Dann kann man bei Bedarf auch weiter auswerten. Vor egrep muss dann dieser Befehl stehen.
logtail -f /var/log/mail.log -o /tmp/_var_log_mail.log.offset > mail.log Dann mit egrep nicht in /var/log/mail.log suchen sondern direkt in diesem File. ./mail.log Nun kann die ganze Datei mit einer for Schleife in ipables eingetragen werden. for IP in $(cat Botnet_for_ortizclan.txt); do iptables -A INPUT -m comment --comment 'Botnet Spamer' --jump DROP -s $IP -p tcp -m multiport --dport 25,465,587; done