Blacklists

WEB

Betreiber	Lizenz	Format	Download	Anmerkungen
https://oiat.at/	Frei für Privat ?	„Liste“ / App f. Smartphone	https://www.watchlist-internet.at/ - App	Typo3 Installation/Pagination
https://cyberhost.uk/	CC BY-SA 4.0	Domains	https://lists.cyberhost.uk/malware.txt	Mit Kommentaren u. Daten wann hinzugefügt wurde
https://github.com/PeterDaveHello/threat-hostlist	Diverse Lizenzen	Sammlung	-	Sammlung diverser anderer Blacklists
fabriziosalmi	GPL	Domains	https://github.com/fabriziosalmi/blacklists/releases/download/latest/blacklist.txt	Aggregiert diverse verfügbare Blacklists / siehe Github
https://cert.pl/	unbekannt	Diverse Formate	e.g. Domains https://hole.cert.pl/domains/domains.txt	-
https://oisd.nl/	unbekannt	Diverse Formate	e.g. https://big.oisd.nl/domainswild2	Aggregiert diverse Listen
https://github.com/RPiList/specials/blob/master/Blocklisten.md	unbekannt	Domains	e.g. Domains: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware	Diverse Listen und Kategorien
https://kadantiscam.netlify.app/	Creative Commons	Hosts File	https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt	-
https://www.abuseipdb.com/contact	https://www.abuseipdb.com/pricing	API	curl -s -G https://api.abuseipdb.com/api/v2/blacklist -d confidenceMinimum=95 -d plaintext -H "Key: API_KEY" -H "Accept: text/plain" > /tmp/abuseipdb-ips.acl	-
https://www.proofpoint.com/us	Privat frei	IPs	http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt	Mischung aus verschiedenen/freien Anbietern
https://pannoniait.at	Frei für alle	CSV	https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.csv , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.csv	Infos aus threat_intel inklusive Port und Anzahl der Hits der IPs
https://pannoniait.at	Frei für alle	IPs	https://island.pannoniait.at/etufxbaedf12/intel-daily-requests-suspicious.acl , https://island.pannoniait.at/etufxbaedf12/intel-weekly-requests-suspicious.acl	Infos aus threat_intel
https://pannoniait.at	Frei für alle	IPs	https://island.pannoniait.at/etufxbaedf12/pannoniait-daily-brute-forcer.acl , https://island.pannoniait.at/etufxbaedf12/pannoniait-weekly-brute-forcer.acl	SSH Brute Force Attackers daily/weekly
https://www.threatstop.com	kommerziell/community frei für privat	Applikation/ipset/DNS	Debian Repository	https://admin.threatstop.com/register/community
https://honeydb.io/	frei für privat (?)	IP	curl -s --header "X-HoneyDb-ApiId: ID" --header "X-HoneyDb-ApiKey: KEY" https://honeydb.io/api/bad-hosts -o /tmp/honeydb_badhosts && cat /tmp/honeydb_badhosts \| jq --raw-output '.[].remote_host' > /tmp/honeydb_clean	Auth zB: über gmail Account möglich
https://firebog.net/	-	Diverse	-	Listet diverse Blacklists
https://phishing.army/	creativecommons	Domains	https://phishing.army/download/phishing_army_blocklist.txt	-
https://wiki.aa419.org/index.php/Main_Page	unbekannt	API/verschiedene Möglichkeiten	Account erstellen & API bedienen PHP Code e.g. php /usr/local/sbin/artists_against_419/artists_search.php 500	artists_search.php.zip
http://www.spamhaus.org	privat und kommerziell möglich	IP CIDR	wget --quiet --timeout=5 --tries=2 http://www.spamhaus.org/drop/drop.txt -O - \| grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]{1,2}" > /tmp/spamhaus-droplist	-
https://isc.sans.edu	creativecommons	IP CIDR /24	wget --quiet --timeout=5 --tries=2 https://isc.sans.edu/block.txt -O - \| grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}" \| awk '{ print $1"/24" }' > /tmp/dshield-recommended-ips	-
https://www.openphish.com	unbekannt	URLs	wget --quiet --timeout=5 --tries=2 https://www.openphish.com/feed.txt -O /tmp/openfish-feed	-
https://urlhaus.abuse.ch/	unbekannt	URLs	wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/text/ -O /tmp/abuse.ch-urls-malicious	-
https://urlhaus.abuse.ch/	unbekannt	Domains	wget --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/hostfile/ -O /tmp/abuse.ch-domains-malicious	pihole kompatibel
https://abuse.ch	unbekannt	Domains/Hosts	wget -q --timeout=15 https://threatfox.abuse.ch/downloads/hostfile/ -O /tmp/threatfox.acl && grep -v '^#' /tmp/threatfox.acl \| awk '{print $2}' \| sort \| uniq > /usr/local/etc/blacklists/threatfox.acl	pihole kompatibel
https://github.com/mitchellkrogza/Ultimate.Hosts.Blacklist	MIT License	Hostname/Domain	wget --quiet --timeout=5 --tries=2 https://hosts.ubuntu101.co.za/domains.list -O /tmp/mitchellkrogza-domain.acl	Achtung >16Mbyte groß/verschiedenste Kategorien zusammen gewürfelt
https://www.malwarepatrol.net/	kommerziell	Diverse	-	-
https://otx.alienvault.com/api	frei für privat	API	-
https://bambenekconsulting.com/	kommerziell/researcher	CSV	-	-
https://www.misp-project.org/feeds/	unbekannt	diverse	-	EU gefördert diverse Feeds
https://www.circl.lu/	unbekannt	misp	https://www.circl.lu/doc/misp/feed-osint/	-
https://www.reddit.com/r/pfBlockerNG/	unbekannt	Domain	( wget --quiet --timeout=30 --tries=2 https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw -O /tmp/bbcan177-ms2-pfblockerng.acl && grep ^[^#] /tmp/bbcan177-ms2-pfblockerng.acl \| awk '{ print $1 }' ) \|\| echo "Could not update bbcan177-ms2-pfblockerng.acl List"	-
https://www.pulsedive.com/	frei für privat ?	API	-	-
https://project.turris.cz/en/	unbekannt	CSV	https://project.turris.cz/greylist-data/greylist-latest.csv	Achtung Betreiber argumentiert nicht als Blacklist zu verwenden / zu Analysezwecken
https://github.com/blocklistproject/Lists	frei verfügbar	Domains/Hostnamen	wget -q --timeout=15 --tries=2 -O /tmp/blocklistproject.github.io.acl https://blocklistproject.github.io/Lists/ransomware.txt https://blocklistproject.github.io/Lists/scam.txt https://blocklistproject.github.io/Lists/phishing.txt https://blocklistproject.github.io/Lists/malware.txt && grep -v ^# /tmp/blocklistproject.github.io.acl \| uniq \| sort \| sed '/^$/d' \| awk '{ print $2 }' > /tmp/blocklistproject.github.io.acl )	Pihole kompatibles Basisformat

IP Reputation

IP Reputation Check Listen

https://check.spamhaus.org/
https://www.ipqualityscore.com/ip-reputation-check
https://www.abuseipdb.com/
https://novasense-threats.com/lookup
https://www.shadowserver.org/what-we-do/network-reporting/api-documentation/
https://www.pulsedive.com

Interessantes Projekt crowdsec :
(https://docs.crowdsec.net/docs/getting_started/install_crowdsec/ )

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Bouncer über iptables - /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml - befülle ipsets

mode: iptables
pid_dir: /var/run/
update_frequency: 10s
daemonize: true
log_mode: file
log_dir: /var/log/
log_level: info
log_compression: true
log_max_size: 100
log_max_backups: 3
log_max_age: 30
api_url: http://127.0.0.1:8080/
api_key: API_KEY
insecure_skip_verify: false
disable_ipv6: false
deny_action: DROP
deny_log: false
supported_decisions_types:
  - ban
#to change log prefix
#deny_log_prefix: "crowdsec: "
#to change the blacklists name
blacklists_ipv4: crowdsec4
blacklists_ipv6: crowdsec6
#if present, insert rule in those chains
iptables_chains:
#  - INPUT
#  - FORWARD
#  - DOCKER-USER

## nftables
nftables:
  ipv4:
    enabled: true
    set-only: true
    table: crowdsec
    chain: crowdsec-chain
  ipv6:
    enabled: true
    set-only: false
    table: crowdsec6
    chain: crowdsec6-chain
# packet filter
pf:
  # an empty string disables the anchor
  anchor_name: ""

Öffentliche Resolver

Ausschließlich Resolver die auch Malware blockieren u. sich im EU Raum befinden

Betreiber	IPv4 Adressen	IPv6 Adressen	Anmerkungen
Quad9, https://quad9.net/about/	9.9.9.9,149.112.112.112	2620:fe::fe,2620:fe::9	Ausführliche Doku/Check ob blocked ebenfalls möglich
EU (?), https://www.joindns4.eu/	86.54.11.1,86.54.11.201	2a13:1001::86:54:11:1,2a13:1001::86:54:11:201	EU gefördertes Projekt

Updates:
- https://www.dns0.eu/ hat seinen Betrieb eingestellt

DNSBL

DNS Blacklists - IP Überprüfung zB: https://multirbl.valli.org/
Hat/hatte in erster Linie Relevanz für den Mailverkehr wenn zB: Die Office/Mailserver IP blacklisted wurde und keine Mails mehr versendet werden können :)
Sehr interessantes Projekt von firehol: https://github.com/ktsaou/firehol/blob/master/contrib/dnsbl-ipset.sh , Echtzeitanalyse des Firewall Traffic und Korrelation bzw. Scoring anhand vorhandener DNS Blacklists

Beispiel für systemd Service von dnsbl: /lib/systemd/system/dnsbl-ext-fw.service , Voraussetzungen für Betrieb u.a. ipset wobei das gewählte ipset ein timeout besitzen muss wie auch die comment Option

[Unit]
Description=dnsbl Monitoring EXT-FW
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/sbin/dnsbl-ipset.sh file  /var/log/fw.log grep EXT-FW
KillSignal=9


[Install]
WantedBy=multi-user.target

Kategorien

zB: Porn / Streams / Gambling usw..

Anbieter	Lizenz	Anmerkungen
https://www.ut-capitole.fr/	creative-commons ?	https://dsi.ut-capitole.fr/blacklists/

~~|http://www.shallalist.de/|frei für privat|http://www.shallalist.de/Downloads/shallalist.tar.gz|~~

Google Crawler über API - eigene Listen erstellen :)

CLAMAV

Spezielle Rules um die Erkennungsrate zu erhöhen

Anbieter	Lizenz	Anmerkungen
https://securiteinfo.com/	für nicht kommerziellen Gebrauch gratis	Französische Security Firma
https://sanesecurity.com/	Kommerzieller Einsatz gratis möglich	Es werden Skripte zur Verfügung gestellt
https://www.malwarepatrol.net/	kommerziell	Diverse andere Formate verfügbar
https://malware.expert/	kommerziell	PHP Malware Signaturen
https://www.atomicorp.com/	kommerziell	Im Rahmen anderer Produkte: https://docs.atomicorp.com/AED/supportingDocuments/clamAVSig.html
https://www.rfxn.com/projects/linux-malware-detect/	GNU GPLv2	Eigene Skripten oder CLAMAV rules: https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
https://github.com/Cisco-Talos/clamav-safebrowsing	GNU GPLv2	getestet auf Debian Buster/für Google Safebrowsing mit Google API / Test mit http://malware.wicar.org/
http://sigs.interserver.net	unbekannt	Last Modified Sept. 2022