Inhaltsverzeichnis

Ins Open-Document-Format exportieren

Blacklists

WEB

BetreiberLizenzFormatDownloadAnmerkungen
fabriziosalmi - https://get.domainsblacklists.com/GPLDomainshttps://get.domainsblacklists.com/blacklist.txtAggregiert diverse verfügbare Blacklists Achunt
https://cert.pl/unbekanntDiverse Formatee.g. Domains https://hole.cert.pl/domains/domains.txt -
https://oisd.nl/unbekanntDiverse Formatee.g. https://big.oisd.nl/domainswild2 Aggregiert diverse Listen
https://github.com/RPiList/specials/blob/master/Blocklisten.mdunbekanntDomainse.g. Domains: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware Diverse Listen und Kategorien
https://kadantiscam.netlify.app/Creative CommonsHosts Filehttps://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt-
https://www.abuseipdb.com/contacthttps://www.abuseipdb.com/pricingAPI
curl -s -G https://api.abuseipdb.com/api/v2/blacklist -d confidenceMinimum=95 -d plaintext  -H "Key: API_KEY"  -H "Accept: text/plain" > /tmp/abuseipdb-ips.acl
-
https://www.proofpoint.com/usPrivat freiIPshttp://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txtMischung aus verschiedenen/freien Anbietern
https://pannoniait.atFrei für alleCSV https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.csv , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.csvInfos aus threat_intel inklusive Port und Anzahl der Hits der IPs
https://pannoniait.atFrei für alleIPs https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.acl , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.aclInfos aus threat_intel
https://pannoniait.atFrei für alleIPshttps://island.pannoniait.at/etufxbaedf12/pannoniait-daily-brute-forcer.acl , https://island.pannoniait.at/etufxbaedf12/pannoniait-weekly-brute-forcer.aclSSH Brute Force Attackers daily/weekly
https://www.threatstop.comkommerziell/community frei für privatApplikation/ipset/DNSDebian Repositoryhttps://admin.threatstop.com/register/community
https://honeydb.io/frei für privat (?)IP
curl -s  --header "X-HoneyDb-ApiId: ID" --header "X-HoneyDb-ApiKey: KEY"   https://honeydb.io/api/bad-hosts -o /tmp/honeydb_badhosts && cat /tmp/honeydb_badhosts | jq --raw-output '.[].remote_host' > /tmp/honeydb_clean
Auth zB: über gmail Account möglich
https://rescure.mefrei für privat (?)Domains
( wget --quiet --timeout=15 --tries=2 https://rescure.me/rescure_domain_blacklist.txt -O /tmp/rescure.me.acl && grep -v -P "^[[:blank:]]+(#|[[:space:]]*)" /tmp/rescure.me.acl > /tmp/clean_rescure.me.acl  ) || echo "Cannot update rescure.me blacklist"
Achtung hatten u.a. www.youtube.com blacklisted
https://firebog.net/-Diverse-Listet diverse Blacklists
https://winhelp2002.mvps.org/creativecommonsHosts Formathttps://winhelp2002.mvps.org/hosts.txtThere's no place like 127.0.0.1 :)
https://phishing.army/creativecommonsDomainshttps://phishing.army/download/phishing_army_blocklist.txt-
https://wiki.aa419.org/index.php/Main_PageunbekanntAPI/verschiedene Möglichkeiten Account erstellen & API bedienen PHP Code e.g. php /usr/local/sbin/artists_against_419/artists_search.php 500 artists_search.php.zip
http://www.spamhaus.orgprivat und kommerziell möglichIP CIDR
wget --quiet --timeout=5 --tries=2 http://www.spamhaus.org/drop/drop.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]{1,2}" > /tmp/spamhaus-droplist
-
https://isc.sans.educreativecommonsIP CIDR /24
wget --quiet --timeout=5 --tries=2 https://isc.sans.edu/block.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}" | awk '{ print $1"/24" }' > /tmp/dshield-recommended-ips
-
https://www.openphish.comunbekanntURLs
wget --quiet --timeout=5 --tries=2 https://www.openphish.com/feed.txt  -O  /tmp/openfish-feed
-
https://urlhaus.abuse.ch/unbekanntURLs
wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/text/  -O  /tmp/abuse.ch-urls-malicious
-
https://urlhaus.abuse.ch/unbekanntDomains
 wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/hostfile/ -O /tmp/abuse.ch-domains-malicious
pihole kompatibel
https://abuse.chunbekanntDomains/Hosts
wget -q --timeout=15 https://threatfox.abuse.ch/downloads/hostfile/ -O /tmp/threatfox.acl && grep -v '^#' /tmp/threatfox.acl | awk '{print $2}'  | sort | uniq > /usr/local/etc/blacklists/threatfox.acl
pihole kompatibel
https://github.com/mitchellkrogza/Ultimate.Hosts.BlacklistMIT LicenseHostname/Domain
wget --quiet --timeout=5 --tries=2 https://hosts.ubuntu101.co.za/domains.list -O /tmp/mitchellkrogza-domain.acl
Achtung >16Mbyte groß/verschiedenste Kategorien zusammen gewürfelt
https://www.malwarepatrol.net/kommerziellDiverse--
https://otx.alienvault.com/apifrei für privatAPI-
https://bambenekconsulting.com/kommerziell/researcherCSV--
mailsilo.gitlab.iounbekannturls
wget --quiet --timeout=15 --tries=2 https://malsilo.gitlab.io/feeds/dumps/url_list.txt -O /tmp/malsilo_urls.acl && cat /tmp/malsilo_urls.acl | cut -d"," -f 3 | grep -o  -P "(https://|http://).*/"  | cut -d/ -f 3 | sort | uniq  | grep -v -P "([0-9]{1,3}\.){3}[0-9]{1,3}"  | cut -d ":" -f 1 > //tmp/malsilo_urls-clean.acl
FIXME noch aktiv ?
https://www.joewein.netfrei für privatdomains/hostnames
wget --quiet --timeout=15 --tries=2 https://www.joewein.net/dl/bl/dom-bl.txt -O /tmp/joewein-bl.acl && cat /tmp/joewein-bl.acl | cut -d";" -f 1 > /tmp/joewein-bl-clean.acl
FIXME noch aktiv ?
http://netlab.360.com/kommerzielldomains
wget --quiet "https://data.netlab.360.com/feeds/dga/dga.txt" -O /tmp/netlab360-dga.acl && grep ^[^#] /tmp/netlab360-dga.acl  | awk '{ print $2 }' > /tmp/netlab360-dga-clean.acl
Umgestellt auf paid
https://www.misp-project.org/feeds/unbekanntdiverse-EU gefördert diverse Feeds
https://www.circl.lu/unbekanntmisp
https://www.circl.lu/doc/misp/feed-osint/
-
https://www.reddit.com/r/pfBlockerNG/unbekanntDomain
( wget --quiet --timeout=30 --tries=2 https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw  -O /tmp/bbcan177-ms2-pfblockerng.acl && grep ^[^#] /tmp/bbcan177-ms2-pfblockerng.acl | awk '{ print $1 }' ) || echo "Could not update bbcan177-ms2-pfblockerng.acl List"
-
https://zerodot1.gitlab.io/CoinBlockerListsWeb/AGPLDomain/Hostnames
( wget --quiet --timeout=30 --tries=2 https://zerodot1.gitlab.io/CoinBlockerLists/list.txt -O /tmp/zerodot1-coinblocker.acl && cat /tmp/zerodot1-coinblocker.acl ) || echo "Could not update zerodot1-coinblocker.acl List"
Missbrauch durch unerlaubtes CryptoMining
https://www.pulsedive.com/frei für privat ?API--
https://project.turris.cz/en/unbekanntCSVhttps://project.turris.cz/greylist-data/greylist-latest.csvAchtung Betreiber argumentiert nicht als Blacklist zu verwenden / zu Analysezwecken
https://github.com/blocklistproject/Listsfrei verfügbarDomains/Hostnamen
wget -q --timeout=15 --tries=2 -O /tmp/blocklistproject.github.io.acl https://blocklistproject.github.io/Lists/ransomware.txt https://blocklistproject.github.io/Lists/scam.txt https://blocklistproject.github.io/Lists/phishing.txt https://blocklistproject.github.io/Lists/malware.txt && grep -v ^# /tmp/blocklistproject.github.io.acl | uniq | sort | sed '/^$/d' | awk '{ print $2 }'  > /tmp/blocklistproject.github.io.acl )
Pihole kompatibles Basisformat

IP Reputation

https://check.spamhaus.org/
https://www.ipqualityscore.com/ip-reputation-check
https://www.abuseipdb.com/
https://novasense-threats.com/lookup
https://www.shadowserver.org/what-we-do/network-reporting/api-documentation/
https://www.pulsedive.com
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
mode: iptables
pid_dir: /var/run/
update_frequency: 10s
daemonize: true
log_mode: file
log_dir: /var/log/
log_level: info
log_compression: true
log_max_size: 100
log_max_backups: 3
log_max_age: 30
api_url: http://127.0.0.1:8080/
api_key: API_KEY
insecure_skip_verify: false
disable_ipv6: false
deny_action: DROP
deny_log: false
supported_decisions_types:
  - ban
#to change log prefix
#deny_log_prefix: "crowdsec: "
#to change the blacklists name
blacklists_ipv4: crowdsec4
blacklists_ipv6: crowdsec6
#if present, insert rule in those chains
iptables_chains:
#  - INPUT
#  - FORWARD
#  - DOCKER-USER

## nftables
nftables:
  ipv4:
    enabled: true
    set-only: true
    table: crowdsec
    chain: crowdsec-chain
  ipv6:
    enabled: true
    set-only: false
    table: crowdsec6
    chain: crowdsec6-chain
# packet filter
pf:
  # an empty string disables the anchor
  anchor_name: ""

DNSBL

[Unit]
Description=dnsbl Monitoring EXT-FW
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/sbin/dnsbl-ipset.sh file  /var/log/fw.log grep EXT-FW
KillSignal=9


[Install]
WantedBy=multi-user.target

Kategorien

AnbieterLizenzAnmerkungen
https://www.ut-capitole.fr/creative-commons ?https://dsi.ut-capitole.fr/blacklists/

|http://www.shallalist.de/|frei für privat|http://www.shallalist.de/Downloads/shallalist.tar.gz|

CLAMAV

AnbieterLizenzAnmerkungen
https://securiteinfo.com/für nicht kommerziellen Gebrauch gratisFranzösische Security Firma
https://sanesecurity.com/Kommerzieller Einsatz gratis möglichEs werden Skripte zur Verfügung gestellt
https://www.malwarepatrol.net/kommerziellDiverse andere Formate verfügbar
https://malware.expert/kommerziellPHP Malware Signaturen
https://www.atomicorp.com/kommerziellIm Rahmen anderer Produkte: https://docs.atomicorp.com/AED/supportingDocuments/clamAVSig.html
https://www.rfxn.com/projects/linux-malware-detect/GNU GPLv2 Eigene Skripten oder CLAMAV rules: https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
https://github.com/Cisco-Talos/clamav-safebrowsingGNU GPLv2getestet auf Debian Buster/für Google Safebrowsing mit Google API / Test mit http://malware.wicar.org/
http://sigs.interserver.netunbekanntLast Modified Sept. 2022