Ich löse dies, indem ich eine weitere Regel in syslog / rsyslog zur Pipe-Mail hinzufüge. * -Nachrichten an ein FIFO in / etc / mail / mailban / syslog_fifo
Ich habe dann einen Daemon erstellt, um syslog_fifo zu lesen, die sendmail-Nachrichten zu analysieren und darauf zu reagieren, was gefunden wird. Die Historie der einzelnen IP-Adressen und -Aktivitäten wird durch eine 1,5 Millionen (!) -Zeilen-MySQL-Tabelle verfolgt. Beleidigende IP-Adressen werden in Abhängigkeit von verschiedenen Kriterien für verschiedene Zeiträume / Ports zu einer Verbotskette in iptables hinzugefügt, und das Leben geht süß weiter ...
Eine einfache Cron-Task wird stündlich ausgeführt, gibt alte IP-Adressen frei und aktualisiert den Status in der Datenbank entsprechend.
Jetzt ließ ich die Software automatisch Protokolldatensätze kompilieren und desinfizieren, finde die verantwortliche Adresse für den Missbrauch der IP-Adresse und schicke dann einen Bericht, der den ISP über unsichtbares Verhalten informiert. Es funktioniert in etwa 5% der Fälle und hilft ein wenig, das Netz aufzuräumen.
Dies erfordert auch eine schwarze Liste von straffälligen ISPs, die diese Art von Beschwerden nicht akzeptieren oder ignorieren, und dies entwickelt sich im Laufe der Zeit.
Ich verwende auch eine ähnliche Lösung für ssh-, pop3- und httpd-Angriffe.
Ich kenne keine andere Software, die dies tut, aber ich könnte Ihnen helfen, eine Lösung zu entwickeln, obwohl ich RedHat / Fedora am besten kenne.