kono@ie.u-ryukyu.ac.jp (Shinji KONO) writes:

> 河野真治 @ 琉球大学情報工学です。
> 
> In article <867j1ykmmd.fsf@bsd2.4bn.ne.jp>, Yoshitaka Ikeda <ikeda@4bn.ne.jp> writes
> > 一部の匿名投稿についてはスクリプトあります。があんまり効率的じゃないかな。
> > findとgrepの塊で直接スプールを見るような感じです。
> 
> もしかして、前に見たあれか?!

あれは、擬似EMP検出ですね。アレについてはあんまり効率的じゃないので、
どうでもいいです。

mail2news経由の匿名投稿の検出は、
find /var/spool/news/message.id -ctime -1 -type f |xargs grep -l "^Path:.*mail2news"|xargs grep -l "^Newsgroups.*fj."|xargs grep -l -f /home/ikeda/getnews/anonymouspattern|xargs grep -L "^Newsgroups.*fj.test"|xargs grep -L "^Newsgroups.*local"|sed "s/\/.*\///g"|sort >anonymous1.txt
/usr/bin/grep -F -v -f noanonymouslog.txt anonymous1.txt >anonymous5.txt
/bin/cat noanonymouslog.txt anonymous5.txt |sort|uniq| perl -pe 's/ //g'|perl -pe 's/^\n//g' >tempx
cp tempx noanonymouslog.txt

正確にはこの条件だけだと誤認識の可能性があって、最初のgrepの前にヘッダを
切り出したほうがよろしいのですが、わざわざ本文中に引用記号なしに
これらに該当するヘッダを書くまともなユーザーはいない
(そもそもまともなユーザーならanonymouspatternには引っかからないんじゃ
ないかなぁ。)

anonymouspatternに何パターンか匿名投稿ユーザの名前パターンを登録しています。
^From.*tokumei.*
みたいな感じですね。

あと、fj.testについては除外しています。どうせautofollowがついちゃうので、
元の記事を後追いで検出してもしょうがないというのが理由です。
fj.testに大量に投稿されるようなら、この部分はいつでもカットできますが。

local.*が入ってるのは除外するって条件はいらないかなぁ
という気がしてきました。


このスクリプトを2分おきに動かしてます。

--
I LOVE SNOOPY!  でつ
Yoshitaka Ikeda mailto:ikeda@4bn.ne.jp
My Honeypot: honey@4bn.ne.jp  <-don't send this address