Auteur Topic: 'hack' statistieken  (gelezen 6887 keer)

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #15 Gepost op: 30 januari 2016, 20:45:02 »
Kun je het stripje scriptje niet posten, ik wil hem hier ook wel eens op de log laten draaien ;)

[Mod edit: komische typo]
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #16 Gepost op: 30 januari 2016, 20:50:17 »
Nu ik weet dat ik bepaald gedrag kan meten, ben ik gaan kijken wat ik tegen 'ongewenst' gedrag kan doen.
Conform: http://www.postfix.org/postconf.5.html en http://www.postfix.org/TUNING_README.html
In /volume1//@appstore/MailServer/etc/master.cf
De volgende regels expliciet toegevoegd onder regel: 25 inet n - n - - smtpd
 -o smtpd_error_sleep_time=30
 -o smtpd_soft_error_limit=10
 -o smtpd_hard_error_limit=20

Hierna een:
/volume1/@appstore/MailServer/sbin/postfix stop
/volume1/@appstore/MailServer/sbin/postfix start

Nu over een maandje opnieuw meten of er veranderingen zijn.

De functie postscreen (http://www.postfix.org/POSTSCREEN_README.html) heb ik nog niet geimplementeert.
In deze functie zit een mogelijkheid tot het blacklisten van ipnummers.
De mailserver = version 2.9.3
Dus dat zou tot de mogelijkheden moeten behoren.

Ben benieuwd.....
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #17 Gepost op: 31 januari 2016, 13:35:58 »
@Erwin1
Hierbij het vbscriptje wat ik gebruik om de statistieken te maken.
1. Maak een export van van je postfix logs (dus niet de HTML) vanuit Mail Log
2. Bewaar dit in bijvoorbeeld c:\temp
3. Copieer mijn scriptje en sla dit op als bijvoorbeeld statsMail.vbs (moet de extensie .vbs zijn)
4. Pas het scriptje aan dat deze verwijst naar de juiste folders (InputFolder= en OutputFolder = ) en naar de juiste bestandsnaam (LocPostFixFile = )
5. Scriptje uitvoeren
6. Output copieren naar excel en hiervan je grafiekjes maken.

'*********************************
'* Autur: Hans
'* Script voor het uitlezen van postfix bestand en hieruit een analyze te maken.
'* Versie 0.1
'* Datum 29 jan 2016
'*********************************

Dim LocPostFixFile, DicIPNummers, DicloginNames, fso, postfixfile, EvaluateLine, Ipnr, loginname, MyArray
Dim Outputfile, OutputFolder, InputFolder
LocPostFixFile = "maillog" 'naam van het prostfixbestand.
InputFolder = "c:\temp\" 'Folder waar je postfixbestand is opgeslagen
OutputFolder = "c:\temp\" 'Folder waar je output moet worden opgeslagen

Set DicIPNummers = CreateObject("Scripting.Dictionary") 'lekker makkelijk hoef ik geen Array te gebruiken
Set DicloginNames = CreateObject("Scripting.Dictionary") 'lekker makkelijk hoef ik geen Array te gebruiken
Set fso = CreateObject("Scripting.FileSystemObject") 'voor het openen en wegschrijven van bestanden


'Open logfile
Set postfixfile = fso.OpenTextFile(InputFolder & LocPostFixFile, 1) 'open postfixfile for reading en geef het een logische naam

Do Until postfixfile.AtEndOfStream 'uitlezen tot het einde van het bestand
EvaluateLine = postfixfile.ReadLine 'lees de regel van het bestand.
'indien disconnect from unknown[ <-> ] dan registreer ip nr en tel de aantallen
If (InStr(1,EvaluateLine,"disconnect from unknown[",1)) > 0 Then 'zoek opdracht gevonden
MyArray = Split(EvaluateLine, "[", -1,1) 'opdelen in groepjes met als scheidingsteken [
'Ipnr = Replace(EvaluateLine,"disconnect from unknown[", "") 'Verwijderen tekst: van disconnect from unknown[
Ipnr = Replace(MyArray(2),"]", "") 'Verwijderen tekst: ] van het derde groepje
If DicIPNummers.Exists(Ipnr) Then 'controleren of IPnr al voorkomt
DicIPNummers.Item(Ipnr) = DicIPNummers.Item(Ipnr) + 1 'eentje erbij tellen
Else 'komt niet voor dus een nieuwe entery aanmaken
DicIPNummers.Add Ipnr,1 'nieuwe registratie toevoegen
End If
End If

'indien postfix: SLIBUserRealNameGet(user= <-> ) failed registreer naam + aantallen
If (InStr(1,EvaluateLine,"postfix: SLIBUserRealNameGet(user=",1)) > 0 Then 'zoek opdracht gevonden
MyArray = Split(EvaluateLine, "=", -1,1) 'opdelen in groepjes met als scheidingsteken =
'loginname = Replace(EvaluateLine,"postfix: SLIBUserRealNameGet(user=", "") 'Verwijderen tekst: van disconnect from unknown[
loginname = Replace(MyArray(1),") failed", "") 'Verwijderen tekst: ]
If DicloginNames.Exists(loginname) Then 'controleren of IPnr al voorkomt
DicloginNames.Item(loginname) = DicloginNames.Item(loginname) + 1 'eentje erbij tellen
Else 'komt niet voor dus een nieuwe entery aanmaken
DicloginNames.Add loginname,1 'nieuwe registratie toevoegen
End If
End If
Loop
'Schrijf bestand weg met geregistreerde ipnr's
colkeys = DicIPNummers.Keys
Set Outputfile = fso.CreateTextFile(OutputFolder & "IPnrStats.txt",True)
For Each strKey in colkeys
Outputfile.WriteLine strKey & vbTab & DicIPNummers.Item(strKey)
Next
Wscript.Echo "Ipnummers statistieken zijn opgeslagen in " & OutputFolder & "IPnrStats.txt"
'Schrijf bestand weg met geregistreerde login namen en aantallen
colkeys = DicloginNames.Keys
Set Outputfile = fso.CreateTextFile(OutputFolder & "LoginStats.txt",TRUE)
For Each strKey in colkeys
Outputfile.WriteLine strKey & vbTab & DicloginNames.Item(strKey)
Next
Wscript.Echo "gebruikte loginnamen statistieken zijn opgeslagen in " & OutputFolder & "IPnrStats.txt"
Wscript.Echo "script is klaar"

  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #18 Gepost op: 31 januari 2016, 14:21:23 »
Thnx, maar ik zit met een mac.
Die kan dat dus niet aan  :lol:
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #19 Gepost op: 31 januari 2016, 15:57:36 »
Helaas het enige script taaltje waarin ik mij thuis voel en kennis van heb is vbscript.
Vandaar ook mijn oproep om hulp om dit om te zetten naar een 'Synology' script taaltje.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #20 Gepost op: 31 januari 2016, 17:18:49 »
Ik heb m'n windows machine er nog maar even bij gepakt.
Ik krijg alleen een foutmelding als ik het scripje wil draaien. Hij kan het bestand niet vinden, in regel 20..?
Ik heb de maillog als .log opgeslagen op het bureaublad, en het scripje heb ik daar ook staan. Ik heb de input, en output aangepast naar de locatie waar ze nu staan..

Wat is dit?
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8004
  • Berichten: 44.018
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: 'hack' statistieken
« Reactie #21 Gepost op: 31 januari 2016, 17:42:28 »
Zou niet het bureaublad gebruiken als directory maar een nieuwe map op C:\


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #22 Gepost op: 31 januari 2016, 17:55:13 »
Oké ga ik dat proberen. Maakt het script zelf een output file, of moet ik die aanmaken?
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8004
  • Berichten: 44.018
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: 'hack' statistieken
« Reactie #23 Gepost op: 31 januari 2016, 17:58:16 »
Zo te zien wel ;)
Set Outputfile = fso.CreateTextFile(OutputFolder & "IPnrStats.txt",True)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #24 Gepost op: 31 januari 2016, 18:58:27 »
Mmm, ik heb nu een map op c:// aangemaakt maar ik krijg dezelfde foutmelding ;)
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #25 Gepost op: 31 januari 2016, 21:42:30 »
Ik krijg alleen een foutmelding als ik het scripje wil draaien. Hij kan het bestand niet vinden, in regel 20..?
Ik heb de maillog als .log opgeslagen op het bureaublad, en het scripje heb ik daar ook staan. Ik heb de input, en output aangepast naar de locatie waar ze nu staan..
Edwin,
De regel: LocPostFixFile = "maillog" 'naam van het prostfixbestand.
Dien je de tekst tussen quotjes aan te passen met maillog.log of de naam van het input bestand aanpassen zonder de extensie .log
In regel 20 opent het script het bestand nl met de exacte naam zoals vermeld in LocPostFixFile

Er worden 2 bestanden aangemaakt: IPnrStats.txt en LoginStats.txt
Het eerste is een overzicht van welk IP nummer hoe vaak heeft proberen in te loggen.
Het tweede van welke inlog namen hoe vaak gebruikt zijn.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #26 Gepost op: 31 januari 2016, 21:46:25 »
Na onderstaande aanpassingen zie ik andere meldingen in het postfix logbesdtand
In /volume1//@appstore/MailServer/etc/master.cf
De volgende regels expliciet toegevoegd onder regel: 25 inet n - n - - smtpd
 -o smtpd_error_sleep_time=30
 -o smtpd_soft_error_limit=10
 -o smtpd_hard_error_limit=20

Nieuwe meldingen in het postfix logbestand:
Jan 31 12:52:56 opa postfix/smtpd[4991]: fatal: watchdog timeout
Jan 31 12:52:57 opa postfix/master[6897]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 4991 exit status 1
Jan 31 12:52:57 opa postfix/master[6897]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling

Dit kan uiteraard een toevalstreffer zijn of relatie te hebben met mijn aanpassing.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: 'hack' statistieken
« Reactie #27 Gepost op: 31 januari 2016, 21:51:59 »
In een half jaar aan log bestanden kom ik het woord "Watchdog" maar 1x tegen:

Nov 16 07:26:45 GedeeldeData postfix/smtpd[16827]: fatal: watchdog timeout
Nov 16 07:26:46 GedeeldeData postfix/master[31686]: warning: process /var/packages/MailServer/target/libexec/smtpd pid 16827 exit status 1
Nov 16 07:26:46 GedeeldeData postfix/master[31686]: warning: /var/packages/MailServer/target/libexec/smtpd: bad command startup -- throttling

Gezien de tijdcode is er geen verband met eerdere of latere log regels.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.655
Re: 'hack' statistieken
« Reactie #28 Gepost op: 01 februari 2016, 11:23:41 »
Oké, volgens mij moet nu alles kloppen: maar ik krijg toch een foutmelding...  :'(
23102-0
23104-1
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Basalt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 130
  • -Ontvangen: 122
  • Berichten: 622
Re: 'hack' statistieken
« Reactie #29 Gepost op: 01 februari 2016, 20:30:11 »
Je hebt geen backslash tussen folder en filenaam.

(en het is Auteur, niet Autur  :lol:)
  • Mijn Synology: DS220+
  • HDD's: 2x WD Red Plus 8TB
  • Extra's: DSM 7.2
Yes, there are two paths you can go by, but in the long run, there's still time to change the road you're on - Stairway To Heaven


 

Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 3998
Laatste bericht 22 februari 2007, 21:04:10
door Frank
[OPGELOST] 7K bezoekers (11 & 12-04-2013) op mijn website, een hack/aanval?

Gestart door m4v3r1ckBoard The lounge

Reacties: 30
Gelezen: 10602
Laatste bericht 04 mei 2013, 10:13:49
door m4v3r1ck
Gestolen NSA hack-tools, MS timmert niet alles dicht!

Gestart door m4v3r1ckBoard The lounge

Reacties: 7
Gelezen: 1878
Laatste bericht 17 april 2017, 00:27:28
door aliazzz
VERPLAATST: Hack aanval op account niveau

Gestart door BirdyBoard Overige mods

Reacties: 0
Gelezen: 6438
Laatste bericht 29 juli 2019, 10:01:51
door Birdy
Webalizer bijwerkfrequentie statistieken

Gestart door henkgBoard Webalizer

Reacties: 2
Gelezen: 12929
Laatste bericht 29 december 2010, 15:02:51
door henkg