动态分析maillog日志,把恶意链接直接用防火墙禁止

近期用 postfix + dovecot 搭建了一个邮件server, 被人当做垃圾邮件转发器,经过配置postfix 的黑白名单, postfix 提示成功的 REJECT 了垃圾邮件, 只是还是有无数的IP地址, 连接过来要进行发送邮件, 尽管垃圾邮件被拒绝了,可是未知连接太多,造成 maillog 日志越变越大, 拖慢 postfix 的执行速度,  总得想个办法解决。要是能把这些没用的IP地址直接用防火墙拒绝就好了。 思路有了,我们就着手处理吧。

这些垃圾IP地址所有是

  • 本站主数据:台湾省 中华电信股份有限公司
  • 參考数据一:台湾

tail    -f    /var/log/maillog   查看日志例如以下所看到的:

这日志还是非常有规律的, 是不是 ?

Aug 20 12:11:40 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:41 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:41 www postfix/smtpd[18026]: NOQUEUE: reject: RCPT from 36-224-135-60.dynamic-ip.hinet.net[36.224.135.60]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:42 www postfix/smtpd[18023]: NOQUEUE: reject: RCPT from 114-45-29-112.dynamic.hinet.net[114.45.29.112]: 554 5.1.8 <[email protected]>: Sender address rejected: Domain not found; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:43 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:43 www postfix/smtpd[18026]: NOQUEUE: reject: RCPT from 36-224-135-60.dynamic-ip.hinet.net[36.224.135.60]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:44 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:44 www postfix/smtpd[18023]: NOQUEUE: reject: RCPT from 114-45-29-112.dynamic.hinet.net[114.45.29.112]: 554 5.1.8 <[email protected]>: Sender address rejected: Domain not found; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:45 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:45 www postfix/smtpd[18026]: too many errors after RCPT from 36-224-135-60.dynamic-ip.hinet.net[36.224.135.60]
Aug 20 12:11:45 www postfix/smtpd[18026]: disconnect from 36-224-135-60.dynamic-ip.hinet.net[36.224.135.60]
Aug 20 12:11:46 www postfix/smtpd[18023]: too many errors after RCPT from 114-45-29-112.dynamic.hinet.net[114.45.29.112]
Aug 20 12:11:46 www postfix/smtpd[18023]: disconnect from 114-45-29-112.dynamic.hinet.net[114.45.29.112]
Aug 20 12:11:47 www postfix/smtpd[18033]: NOQUEUE: reject: RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]: 554 5.7.1 <[email protected]>: Recipient address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:11:49 www postfix/smtpd[18033]: too many errors after RCPT from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]
Aug 20 12:11:49 www postfix/smtpd[18033]: disconnect from 36-224-133-61.dynamic-ip.hinet.net[36.224.133.61]
Aug 20 12:14:10 www postfix/smtpd[18097]: connect from 36-224-136-82.dynamic-ip.hinet.net[36.224.136.82]
Aug 20 12:14:11 www postfix/smtpd[18097]: NOQUEUE: reject: RCPT from 36-224-136-82.dynamic-ip.hinet.net[36.224.136.82]: 554 5.7.1 <[email protected]>: Sender address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>
Aug 20 12:14:11 www postfix/smtpd[18097]: NOQUEUE: reject: RCPT from 36-224-136-82.dynamic-ip.hinet.net[36.224.136.82]: 554 5.7.1 <[email protected]>: Sender address rejected: Access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<115.28.81.191>

我们能够动态分析日志, 把

too many errors after RCPT from
后面的IP地址获取, 动态添?到防火墙进行拒绝即可。

思路有了, 我就写个小程序来分析日志吧,我写的是C的,  只是用perl 或者 shell 脚本可能更简单。

反正用自己最熟悉的语言即可。

dyn.c 源码文件的内容例如以下 :

#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#define BUF_LEN   4096
#define DATA_LEN  4096*10

int  main (int argc, char** argv)
{
    //too many errors after RCPT from 36-224-128-99.dynamic-ip.hinet.net[36.224.128.99]
    //too many errors after RCPT from 118-169-22-28.dynamic.hinet.net[118.169.22.28]
    //too many errors after AUTH from unknown[79.125.161.236]

        char buf[BUF_LEN] = {0};
    const char* sep = "too many errors after";
    
    while (1)
    {
        memset (buf, 0, sizeof(buf));
        char* tp = fgets (buf, sizeof(buf)-1, stdin);
        if (tp != NULL)
        {
            int buflen = strlen(tp);
            char* p = strstr(buf, sep);
            if (p != NULL)
            {
                char* p1 = p + strlen(sep) + 1;
                char* ps = NULL;
                char* pe = NULL;
                while (*p1 != ‘\0‘ && *p1 != ‘\n‘)
                {
                    if (*p1 == ‘[‘)
                        ps = p1+1;
                    if (*p1 == ‘]‘)
                        pe = p1;
                    p1++;
                }
                
                if (ps != NULL && pe != NULL)
                {
                    char ipbuf[64]={0};
                    memcpy (ipbuf, ps, pe-ps);
                    char ebuf[512] = {0};
                    snprintf(ebuf, sizeof(ebuf)-1, "iptables -I INPUT -s %s -j DROP", ipbuf);
                    system (ebuf);
                    printf ("%s\n", ebuf);
                }

            }
        }

    }
    
    return 0;
}

用  gcc   -g -o dyn  dyn.c    , 编译后生成了可运行文件   dyn

我的dyn可运行文件在  /root 文件夹, 所以用 命令:

nohup   tail  -f   /var/log/maillog  |  /root/dyn  &

让它自己跑吧。

过一段时间后, 我们再看maillog日志,  已经基本没有 不认识的IP地址再连接过来打算发邮件了。

时间: 2024-10-14 06:34:12

动态分析maillog日志,把恶意链接直接用防火墙禁止的相关文章

用Shell脚本动态分析maillog日志,把恶意IP用防火墙禁止

用Shell脚本动态分析maillog日志,把恶意IP用防火墙禁止 系统环境:Centos 6.5 x64 Postfix邮件系统装好后,发现maillog中太多"SASL LOGIN authentication failed"垃圾IP地址.此脚本用于定期自动的将垃圾IP加入到防火墙中,直接拒绝掉.maillog部分信息如下 用户可以根据自己日志文件中的关键字,灵活的来调整要加入到防火墙当中的IP地址. Jun 11 03:58:36 host postfix/smtpd[11783

怎么让maillog日志记录smtp是使用25端口还是465端口(SSL加密方式)

怎么让maillog日志记录smtp是使用25端口还是465端口(SSL加密方式): 1.修改配置文件 [[email protected] log]# vi /etc/postfix/master.cf 备注:我这里smtps表示ssl方式,然后加一个syslog_name字段指定名称即可. 2.重新加载postfix服务 /etc/init.d/kkmail_postfix status 3.查看日志确认 原文地址:http://blog.51cto.com/net881004/210845

linux下 tomcat 日志乱码/中文链接404

1 日志乱码: JDK引用的设置 Java引用参数添加"-Dfile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8" 将上面参数添加到Catalina.sh中JAVA_OPTS变量中,重启Tomcat,OK了. 如果不行 :安装中文语言包 yum groupinstall chinese-support 再不行,检查i18n配置 : /etc/sysconfig/i18n LANG="en_US.UTF-8" 2中文链接404 在t

message/maillog日志提示磁盘innode、io错误等,扫描磁盘很多坏道

1./var/log/messages报错. [[email protected] ~]# tail -f /var/log/messages | grep error Aug  6 16:03:25 localhost kernel: EXT4-fs error (device dm-2): ext4_lookup: deleted inode referenced: 6032967 Aug  6 16:03:25 localhost kernel: EXT4-fs error (device

Nginx日志内发现大量恶意ip自动加入防火墙脚本

#!/bin/bash #_日志位置 _log_Path="/data0/nginx/weblogs/" #_日志文件名称 _log_FileName="access_blog.kinggoo.com.log" #_要被屏蔽的ip访问端口,默认80 _port="80" _nginx_deny="/opt/webserver/nginx/conf/deny.conf" _nginx_bin="/opt/webserv

开发日志—详细的链接服务器代码(登录)

进行链接服务器 ,输入密码账号,登录页面 是基本APP都有的功能,总结了下:过 用户登陆界面 /** * @author think *用户登陆界面 */ public class LoginUi extends Activity implements HttpCallBack{ private EditText emailET; private EditText passwordET; private ImageButton loginIB; private TextView register

oracle用plsql登陆出错,提示ORA-12170:TNS:链接超时 --------关闭防火墙试试

oracle用plsql登陆出错,提示ORA-12170:TNS:链接超时 但是使用sqlplus可以连接 ping 本机127.0.0.1 显示一般故障 后关闭防火墙,问题解决.

Linux下重要日志文件及查看方式

1.Linux下重要日志文件介绍 /var/log/boot.log 该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息,如图1所示: 图1 /var/log/boot.log示意 /var/log/cron 该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户.登录时间和PID,以及派生出的进程的动作.CMD的一个动作是cron派生出一个调度进程的常见情况.REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性

Linux计划任务和日志管理

计划任务 日志. 搭建远程日志管理 计划任务 at  只能执行一次 语法: at time(时间) 服务: atd 必须开启      [[email protected] ~]# /etc/init.d/atd status  #查看atd服务状态      atd (pid  2108) is running... 创建计划任务      [[email protected] ~]# at 16:07      at> echo `date` > /tmp/date.txt      at