Benutzer-Werkzeuge

Webseiten-Werkzeuge


know-how:blacklists

Ins Open-Document-Format exportieren

Blacklists

WEB

BetreiberLizenzFormatDownloadAnmerkungen
fabriziosalmi - https://get.domainsblacklists.com/GPLDomainshttps://get.domainsblacklists.com/blacklist.txtAggregiert diverse verfügbare Blacklists Achunt
https://cert.pl/unbekanntDiverse Formatee.g. Domains https://hole.cert.pl/domains/domains.txt -
https://oisd.nl/unbekanntDiverse Formatee.g. https://big.oisd.nl/domainswild2 Aggregiert diverse Listen
https://github.com/RPiList/specials/blob/master/Blocklisten.mdunbekanntDomainse.g. Domains: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware Diverse Listen und Kategorien
https://kadantiscam.netlify.app/Creative CommonsHosts Filehttps://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt-
https://www.abuseipdb.com/contacthttps://www.abuseipdb.com/pricingAPI
curl -s -G https://api.abuseipdb.com/api/v2/blacklist -d confidenceMinimum=95 -d plaintext  -H "Key: API_KEY"  -H "Accept: text/plain" > /tmp/abuseipdb-ips.acl
-
https://www.proofpoint.com/usPrivat freiIPshttp://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txtMischung aus verschiedenen/freien Anbietern
https://pannoniait.atFrei für alleCSV https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.csv , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.csvInfos aus threat_intel inklusive Port und Anzahl der Hits der IPs
https://pannoniait.atFrei für alleIPs https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.acl , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.aclInfos aus threat_intel
https://pannoniait.atFrei für alleIPshttps://island.pannoniait.at/etufxbaedf12/pannoniait-daily-brute-forcer.acl , https://island.pannoniait.at/etufxbaedf12/pannoniait-weekly-brute-forcer.aclSSH Brute Force Attackers daily/weekly
https://www.threatstop.comkommerziell/community frei für privatApplikation/ipset/DNSDebian Repositoryhttps://admin.threatstop.com/register/community
https://honeydb.io/frei für privat (?)IP
curl -s  --header "X-HoneyDb-ApiId: ID" --header "X-HoneyDb-ApiKey: KEY"   https://honeydb.io/api/bad-hosts -o /tmp/honeydb_badhosts && cat /tmp/honeydb_badhosts | jq --raw-output '.[].remote_host' > /tmp/honeydb_clean
Auth zB: über gmail Account möglich
https://rescure.mefrei für privat (?)Domains
( wget --quiet --timeout=15 --tries=2 https://rescure.me/rescure_domain_blacklist.txt -O /tmp/rescure.me.acl && grep -v -P "^[[:blank:]]+(#|[[:space:]]*)" /tmp/rescure.me.acl > /tmp/clean_rescure.me.acl  ) || echo "Cannot update rescure.me blacklist"
Achtung hatten u.a. www.youtube.com blacklisted
https://firebog.net/-Diverse-Listet diverse Blacklists
https://winhelp2002.mvps.org/creativecommonsHosts Formathttps://winhelp2002.mvps.org/hosts.txtThere's no place like 127.0.0.1 :)
https://phishing.army/creativecommonsDomainshttps://phishing.army/download/phishing_army_blocklist.txt-
https://wiki.aa419.org/index.php/Main_PageunbekanntAPI/verschiedene Möglichkeiten Account erstellen & API bedienen PHP Code e.g. php /usr/local/sbin/artists_against_419/artists_search.php 500 artists_search.php.zip
http://www.spamhaus.orgprivat und kommerziell möglichIP CIDR
wget --quiet --timeout=5 --tries=2 http://www.spamhaus.org/drop/drop.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]{1,2}" > /tmp/spamhaus-droplist
-
https://isc.sans.educreativecommonsIP CIDR /24
wget --quiet --timeout=5 --tries=2 https://isc.sans.edu/block.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}" | awk '{ print $1"/24" }' > /tmp/dshield-recommended-ips
-
https://www.openphish.comunbekanntURLs
wget --quiet --timeout=5 --tries=2 https://www.openphish.com/feed.txt  -O  /tmp/openfish-feed
-
https://urlhaus.abuse.ch/unbekanntURLs
wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/text/  -O  /tmp/abuse.ch-urls-malicious
-
https://urlhaus.abuse.ch/unbekanntDomains
 wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/hostfile/ -O /tmp/abuse.ch-domains-malicious
pihole kompatibel
https://abuse.chunbekanntDomains/Hosts
wget -q --timeout=15 https://threatfox.abuse.ch/downloads/hostfile/ -O /tmp/threatfox.acl && grep -v '^#' /tmp/threatfox.acl | awk '{print $2}'  | sort | uniq > /usr/local/etc/blacklists/threatfox.acl 
pihole kompatibel
https://github.com/mitchellkrogza/Ultimate.Hosts.BlacklistMIT LicenseHostname/Domain
wget --quiet --timeout=5 --tries=2 https://hosts.ubuntu101.co.za/domains.list -O /tmp/mitchellkrogza-domain.acl
Achtung >16Mbyte groß/verschiedenste Kategorien zusammen gewürfelt
https://www.malwarepatrol.net/kommerziellDiverse--
https://otx.alienvault.com/apifrei für privatAPI-
https://bambenekconsulting.com/kommerziell/researcherCSV--
mailsilo.gitlab.iounbekannturls
wget --quiet --timeout=15 --tries=2 https://malsilo.gitlab.io/feeds/dumps/url_list.txt -O /tmp/malsilo_urls.acl && cat /tmp/malsilo_urls.acl | cut -d"," -f 3 | grep -o  -P "(https://|http://).*/"  | cut -d/ -f 3 | sort | uniq  | grep -v -P "([0-9]{1,3}\.){3}[0-9]{1,3}"  | cut -d ":" -f 1 > //tmp/malsilo_urls-clean.acl 
FIXME noch aktiv ?
https://www.joewein.netfrei für privatdomains/hostnames
wget --quiet --timeout=15 --tries=2 https://www.joewein.net/dl/bl/dom-bl.txt -O /tmp/joewein-bl.acl && cat /tmp/joewein-bl.acl | cut -d";" -f 1 > /tmp/joewein-bl-clean.acl 
FIXME noch aktiv ?
http://netlab.360.com/kommerzielldomains
wget --quiet "https://data.netlab.360.com/feeds/dga/dga.txt" -O /tmp/netlab360-dga.acl && grep ^[^#] /tmp/netlab360-dga.acl  | awk '{ print $2 }' > /tmp/netlab360-dga-clean.acl
Umgestellt auf paid
https://www.misp-project.org/feeds/unbekanntdiverse-EU gefördert diverse Feeds
https://www.circl.lu/unbekanntmisp
https://www.circl.lu/doc/misp/feed-osint/ 
-
https://www.reddit.com/r/pfBlockerNG/unbekanntDomain
( wget --quiet --timeout=30 --tries=2 https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw  -O /tmp/bbcan177-ms2-pfblockerng.acl && grep ^[^#] /tmp/bbcan177-ms2-pfblockerng.acl | awk '{ print $1 }' ) || echo "Could not update bbcan177-ms2-pfblockerng.acl List" 
-
https://zerodot1.gitlab.io/CoinBlockerListsWeb/AGPLDomain/Hostnames
( wget --quiet --timeout=30 --tries=2 https://zerodot1.gitlab.io/CoinBlockerLists/list.txt -O /tmp/zerodot1-coinblocker.acl && cat /tmp/zerodot1-coinblocker.acl ) || echo "Could not update zerodot1-coinblocker.acl List"
Missbrauch durch unerlaubtes CryptoMining
https://www.pulsedive.com/frei für privat ?API--
https://project.turris.cz/en/unbekanntCSVhttps://project.turris.cz/greylist-data/greylist-latest.csvAchtung Betreiber argumentiert nicht als Blacklist zu verwenden / zu Analysezwecken
https://github.com/blocklistproject/Listsfrei verfügbarDomains/Hostnamen
wget -q --timeout=15 --tries=2 -O /tmp/blocklistproject.github.io.acl https://blocklistproject.github.io/Lists/ransomware.txt https://blocklistproject.github.io/Lists/scam.txt https://blocklistproject.github.io/Lists/phishing.txt https://blocklistproject.github.io/Lists/malware.txt && grep -v ^# /tmp/blocklistproject.github.io.acl | uniq | sort | sed '/^$/d' | awk '{ print $2 }'  > /tmp/blocklistproject.github.io.acl )  
Pihole kompatibles Basisformat

IP Reputation

  • IP Reputation Check Listen
https://check.spamhaus.org/
https://www.ipqualityscore.com/ip-reputation-check
https://www.abuseipdb.com/
https://novasense-threats.com/lookup
https://www.shadowserver.org/what-we-do/network-reporting/api-documentation/
https://www.pulsedive.com
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
  • Bouncer über iptables - /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml - befülle ipsets
mode: iptables
pid_dir: /var/run/
update_frequency: 10s
daemonize: true
log_mode: file
log_dir: /var/log/
log_level: info
log_compression: true
log_max_size: 100
log_max_backups: 3
log_max_age: 30
api_url: http://127.0.0.1:8080/
api_key: API_KEY
insecure_skip_verify: false
disable_ipv6: false
deny_action: DROP
deny_log: false
supported_decisions_types:
  - ban
#to change log prefix
#deny_log_prefix: "crowdsec: "
#to change the blacklists name
blacklists_ipv4: crowdsec4
blacklists_ipv6: crowdsec6
#if present, insert rule in those chains
iptables_chains:
#  - INPUT
#  - FORWARD
#  - DOCKER-USER

## nftables
nftables:
  ipv4:
    enabled: true
    set-only: true
    table: crowdsec
    chain: crowdsec-chain
  ipv6:
    enabled: true
    set-only: false
    table: crowdsec6
    chain: crowdsec6-chain
# packet filter
pf:
  # an empty string disables the anchor
  anchor_name: ""

DNSBL

  • Beispiel für systemd Service von dnsbl: /lib/systemd/system/dnsbl-ext-fw.service , Voraussetzungen für Betrieb u.a. ipset wobei das gewählte ipset ein timeout besitzen muss wie auch die comment Option
[Unit]
Description=dnsbl Monitoring EXT-FW
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/sbin/dnsbl-ipset.sh file  /var/log/fw.log grep EXT-FW
KillSignal=9


[Install]
WantedBy=multi-user.target

Kategorien

  • zB: Porn / Streams / Gambling usw..
AnbieterLizenzAnmerkungen
https://www.ut-capitole.fr/creative-commons ?https://dsi.ut-capitole.fr/blacklists/

|http://www.shallalist.de/|frei für privat|http://www.shallalist.de/Downloads/shallalist.tar.gz|

  • FIXME Google Crawler über API - eigene Listen erstellen :)

CLAMAV

  • Spezielle Rules um die Erkennungsrate zu erhöhen
AnbieterLizenzAnmerkungen
https://securiteinfo.com/für nicht kommerziellen Gebrauch gratisFranzösische Security Firma
https://sanesecurity.com/Kommerzieller Einsatz gratis möglichEs werden Skripte zur Verfügung gestellt
https://www.malwarepatrol.net/kommerziellDiverse andere Formate verfügbar
https://malware.expert/kommerziellPHP Malware Signaturen
https://www.atomicorp.com/kommerziellIm Rahmen anderer Produkte: https://docs.atomicorp.com/AED/supportingDocuments/clamAVSig.html
https://www.rfxn.com/projects/linux-malware-detect/GNU GPLv2 Eigene Skripten oder CLAMAV rules: https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
https://github.com/Cisco-Talos/clamav-safebrowsingGNU GPLv2getestet auf Debian Buster/für Google Safebrowsing mit Google API / Test mit http://malware.wicar.org/
http://sigs.interserver.netunbekanntLast Modified Sept. 2022
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
know-how/blacklists.txt · Zuletzt geändert: 2024/02/26 10:31 von cc