>>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>>на этот счет.
>>
>>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
>
>а поделиться можешь? :) mi6@bk.ru Был бы рад. Да там такая жуткая аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее - дело за Вами... Вот кусок кода из perl-скрипта:
анализирует /var/log/maillog. Учитывает размер посланного...
while(<>) {
if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=<?([^,>@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {
$m = $1;
$d = $2;
$date = $m."_".sprintf("%02d",$d);
unless ($m{$m}) { print color ("blue")," $m: ",color("yellow"); }
unless ($d{$date}) { print "$d.."; ++$sort; }
unless ($sort{$date}) {$sort{$date}=$sort}
$m{$m} = 1;
$d{$date} = 1;
# $id=$3;
$from = $4;
$size = $5;
$ip = $6;
....
# для некоторых IP не делаем проверок:
if ($ip =~ /192.168.0.2(22|00|08)/) { next }
###########
++$count_all{$date}{$ip};
$size_all{$date}{$ip} += $size;
++$count_ip{$ip};
$size_ip{$ip} += $size;
++$count_d{$date};
$size_d{$date} += $size;
}
}