Собирается black-list ip

[Ar3s]

В целях защиты ботнетов/связок и иных малварь собирается список ip адресов всех поисковиков, всех малваре-листов.
Кому не сложно - пропарсите логи апача и т.п. на предмет ip адресов гуглботов и иных поисковиков. Я постараюсь за день собрать ip серверов малварь-листов.
Если у кого есть готовые списки - прошу поделиться.

Список собирается для блокировки входов на наши сервера/домены.
p.s. думаю многим полезно будет.

 

[Ar3s]

вот список на скорую руку.
Конечно это не панацея, и у многих компаний есть отдельные серваки под эти цели, но я, к сожалению, о них не осведомлен. Поэтому хоть что-то...

Спойлер: 20

malwaredomainlist
143.215.130.61

sophos.com
92.123.155.139
92.123.155.148
92.123.155.157
92.123.155.106
92.123.155.108
92.123.155.109
92.123.155.115
92.123.155.131
92.123.155.138
213.31.172.77

www.stopbadware.org
128.103.64.79

www.spywarewarrior.com
204.14.90.22

bitdefender.com
66.40.145.26
66.223.50.102

malwarebytes.org
69.162.79.74

anti-malware.ru
213.189.197.175

malwaredomains.com
139.146.167.25

antirootkit.com
78.137.164.63

www.securelist.com
195.27.181.36

www.malware.com.br
72.14.190.204

freepcsecurity.co.uk
66.147.244.186

wepawet.cs.ucsb.edu
128.111.48.95

jsunpack.jeek.org
209.9.239.101

support.clean-mx.de
62.67.194.188
195.214.79.8

malwareurl.com
97.74.141.1

spamhaus
213.171.194.34

У кого есть чем дополнить список - милости прошу.

 

[Exmanoize]

у вепавет сетка ипов, одним ипом не ограничиться(

 

[ammok]

Отличная тема, дополнить правда сейчас мне это нечем, но надеюсь еще внесу в нее свой вклад.

p.s. скоро они начнут использовать носочки

 

[AluAdib]

откройте тайну 2-го поста - неахота флудить)
на моей практике блокировка IP самый действенный метод по продлению
жизни ботнета/связки.

есть вот такой еще хта на 100кб

http://www.sendspace.com/file/lvecnk

 

[Ar3s]

там собранный мной список сервисов. В основном ip сайтов.

 

[Exmanoize]

Спойлер: 20

jsunpack.jeek.org
67.217.160.100

 

[Ar3s]

Вот думаю через фаерволл таким вот образом прикрутить:

#!/bin/bash
#
# assumes that the IP addresses you wish to block are put in file /etc/firewall.blocks
# this file can contain comments starting with; or #
# but these must not be included on the end of IP addresses
# #comment allowed
#;comment allowed
# 192.168.1.2;NOT ALLOWED
# 192.168.1.2 #NOT ALLOWED
# firewall blocks can be single IP, CIDR, or a RANGE
# 192.168.1.1
# 192.168.1.0/24
# 192.168.1.1-192.168.1.10
#
BLOCK_LIST=/etc/firewall.blocks
if [ ! -f $BLOCK_LIST ]
        then
                echo "Unable to add blocks to IPTABLES because file $BLOCK_LIST is missing"
                exit
        fi
CURRENT_RULES=`iptables -nL`

while read entries;do
        # skip comment lines starting with; or #
        case $entries in
                \#*|\;*)
                continue
               ;;
        esac

        if [[ $CURRENT_RULES =~ $entries ]]
        then
                printf "%-20s %20s\n" $entries 'already referenced in iptable - skipping'
                else
                # is this CIDR, range or single IP?
                        if [[ $entries =~ "-" ]]
                        then
                        #--src-range
                        printf "%-20s %20s %1s %1s\n" 'ADDING RULE:' 'iptables -A INPUT --src-range' $entries '-j DROP'
                        iptables -A INPUT --src-range $entries -j DROP
                        else
                        #--CIDR or single
                        printf "%-20s %20s %1s %1s\n" 'ADDING RULE:' 'iptables -A INPUT -s' $entries '-j DROP'
                        iptables -A INPUT -s $entries -j DROP
                        fi
                fi
done < $BLOCK_LIST

Что скажите господа?

 

[TrueUser]

Это ты сам придумал или упер где? скрипт вроде живой...

 

[Ar3s]

Первоисточник