Archive

Kategorien

Abuse Adressen aus IPs ermitteln

Oft muss der Admin die abuse Adressen zu auffälligen IPs aus den Logs in mühsamer Handarbeit zusammenklauben. Das geht auch einfacher mit Hilfe der Abuse Datenbaknk von abusix.com. Das hat den Vorteil, dass man nur eine DB abklappern muss und nicht mehr verschiedenste whois Datenbanken.

Da ich den Request für die Abfrage nicht jedesmal tippen wollte ist folgendes Script entstanden, welches als einziges Argument die IP Adresse erwartet. Die Abfrage an sich setzt dig oder host voraus. Zudem sollten Kommandos wie awk und sed auch vorhanden sein

#!/bin/bash
 
[[ "x$*" = 'x' || "x$1" = 'x' ]] && echo 'ipaddress is required' && exit 1
CMD=''
DIG=$(which dig)
HOST=$(which host)
 
if [[ "x$DIG" != 'x' && -f $DIG && -x $DIG ]] ; then
 CMD="$DIG"
 echo $1 | awk -F'.' '{print $4"."$3"."$2"."$1".abuse-contacts.abusix.org TXT"}' | xargs $CMD +short | sed 's/"//g' && exit 0
elif [[ "x$HOST" != 'x' && -f $HOST && -x $HOST ]] ; then
 CMD="$HOST"
 echo $1 | awk -F'.' '{print $4"."$3"."$2"."$1".abuse-contacts.abusix.org"}' | xargs $CMD -t TXT | sed 's/"//g' | awk -F'text ' '{print $2}' && exit 0
else
 echo 'No suitable DNS command (ex dig or host) found' && exit 1
fi

Eine Abfrage kann dann so ausschauen

[tobster@localhost /]$ abuse 188.241.14.XXX
gm@cristih.eu

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">

  

  

  

fifteen + 1 =

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .