Létezik olyan, hogy IP feketelista?
Azon kívül, hogy a rendszeresen próbálkozó IP-ket (http/ssh/stb.) tűzfalon letiltom és/vagy jelentgetem az abuse@ címeken, van-e valami 3rd party hivatalos/félhivatalos lista, ahová lehet jelezni az ilyen attacker IP-ket?
- 10318 megtekintés
Hozzászólások
Ilyesmire gondoltál?
http://www.openbl.org/
- A hozzászóláshoz be kell jelentkezni
Köszi, jónak tűnik, majd meglátjuk :)
--
PtY - www.onlinedemo.hu
- A hozzászóláshoz be kell jelentkezni
Kicsit feléleszteném a témát.
Az openbl jó hosszú és egyes ip címeket tartalmaz - lassan megy a szabályok betöltése.
Ezen kívül használok még kettőt:
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
http://cinsscore.com/list/ci-badguys.txt
A suricata logomból és a fail2ban-ból pedig gyűjtögetem a sajátomat.
Elemszám szerint növekvő sorrendbe teszem a tűzfalba így előbb az enyémet vizsgálja utoljára az openbl-t.
(Lusta vagyok az átfedéseket kiküszöbölendő összefésülni és szeretem látni melyik lista mennyire hatékony - persze a sorrend ezt erősen torzítja a hátul levők kárára.)
Ha más is gyűjtöget rossz fiúkat lehet, hogy érdemes lenne megosztani a saját listáinkat.
Az enyém itt van: http://pastebin.com/0sgD7AHL
Kissé könnyű kézzel bántam a távolkeleti subnetekkel, ha valahonnan sok IP jött egy-egy nagyobb subnet is bekerült. Van benne kommentelt, amit fontolgatok még egy kicsit.
- A hozzászóláshoz be kell jelentkezni
tigernet miért van kikommentelve?
- A hozzászóláshoz be kell jelentkezni
Mióta őket kitettem alig jön magyar SPAM.
- A hozzászóláshoz be kell jelentkezni
Először beraktam, de azután elbizonytalanodtam, hogy hátha van ott ügyfelünk a spamszűrő meg szépen szűröget. Lehet, hogy teszek egy kísérletet arra, hogy beteszem a tiltólistára és megvárom, hogy panaszkodik-e ügyfél.
- A hozzászóláshoz be kell jelentkezni
Hát nemtom, értem én, hogy aki tőle levelezne az szívna ezzel, viszont így meg közvetve támogatod a spammer-eket.
- A hozzászóláshoz be kell jelentkezni
subs.
- A hozzászóláshoz be kell jelentkezni
subs
- A hozzászóláshoz be kell jelentkezni
+++++ subs
- A hozzászóláshoz be kell jelentkezni
Joomla és WordPress kapcsán van egy 63744 db IP címet és 1131 db tartományt tartalmazó listánk már. Ezek az aktív címek, már lett egy csomó inaktiválva és csak akkor lesz újra aktív ha megint elkapjuk. Főleg dinamikus kiosztású tartományok esetében.
Ma 346 db tiltás volt eddig.
- A hozzászóláshoz be kell jelentkezni
Megosztanád te is ezt az aktuális listát? Én nagyon megköszönném.
- A hozzászóláshoz be kell jelentkezni
Hogyan intézitek a gyűjtést és feldolgozást?
- A hozzászóláshoz be kell jelentkezni
Fail2ban gyűjt, és fájlba írja az ip-ket, plusz whois alapján elküldi a vonatkozó logokat az ISP abuse@/egyéb címére.
--
PtY - www.onlinedemo.hu, www.westeros.hu
- A hozzászóláshoz be kell jelentkezni
Mivel nagy a forgalom így a mod-status kimenetét dolgozom fel percenként. A többit én írtam meg hozzá.
Több helyen megcsúszik kicsit a dolog, de így is szép mennyiség gyűlik és hatásos.
Pl. jobb lenne valós idejű logot feldolgozni, de az rendesen teljesítmény igényes lenne. WP esetében fail2ban plugin jó, használom is ahol kevés oldal van, de itt nem megoldható.
- A hozzászóláshoz be kell jelentkezni
Egy példát kaphatunk, hogy pl mi kerül nálatok blacklistre?
- A hozzászóláshoz be kell jelentkezni
Szia!
Csak külföldi IP, mivel elsősorban magyar területre szolgáltatunk így veszélyes lenne automatán leverni magyar címeket.
Minden olyan IP ami POST metódussal meghívta a wp-login.php -t vagy a /administrator/index.php -t. Ha először történt ilyen akkor 5 egymás utáni találat után kerül tiltásra, ez azt jelenti legalább 5 perce próbálkozik.
Van egy külön lista amire fel tudok venni teljes webcímet, amennyiben azon szerepel akkor elsőre leveri, pl. az xmlrpc.php WP esetén. Fontos, hogy most csak a POST -al meghívott oldalakat vadászom, ahol a tipikus jelszó próbálgatás megy.
Mint írtam közel sem tudok mindent elkapni, de bőven elég arra, hogy ne tudjanak túlterhelni. Így is jelentős mennyiségű cím kerül tiltásra.
- A hozzászóláshoz be kell jelentkezni