Benutzer-Werkzeuge

Webseiten-Werkzeuge


know-how:blacklists

Blacklists

WEB

BetreiberLizenzFormatDownloadAnmerkungen
https://honeydb.io/frei für privat (?)IP
curl -s  --header "X-HoneyDb-ApiId: ID" --header "X-HoneyDb-ApiKey: KEY"   https://honeydb.io/api/bad-hosts -o /tmp/honeydb_badhosts && cat /tmp/honeydb_badhosts | jq --raw-output '.[].remote_host' > /tmp/honeydb_clean
Auth zB: über gmail Account möglich
https://rescure.mefrei für privat (?)Domains
( wget --quiet --timeout=15 --tries=2 https://rescure.me/rescure_domain_blacklist.txt -O /tmp/rescure.me.acl && grep -v -P "^[[:blank:]]+(#|[[:space:]]*)" /tmp/rescure.me.acl > /tmp/clean_rescure.me.acl  ) || echo "Cannot update rescure.me blacklist"
Achtung hatten u.a. www.youtube.com blacklisted
https://firebog.net/-Diverse-Listet diverse Blacklists
https://winhelp2002.mvps.org/creativecommonsHosts Formathttps://winhelp2002.mvps.org/hosts.txtThere's no place like 127.0.0.1 :)
https://phishing.army/creativecommonsDomainshttps://phishing.army/download/phishing_army_blocklist.txt-
https://isc.sans.edu/creativecommonsDomain
wget --quiet https://isc.sans.edu/feeds/suspiciousdomains_High.txt https://isc.sans.edu/feeds/suspiciousdomains_Low.txt https://isc.sans.edu/feeds/suspiciousdomains_Medium.txt -O /tmp/isc-suspicious && grep ^[^#] /tmp/isc-suspicious | sort | uniq >  /tmp/isc-suspicious.acl && sed -i "/Site/d" /tmp/isc-suspicious.acl
-
https://wiki.aa419.org/index.php/Main_PageunbekanntAPI/verschiedene Möglichkeiten Account erstellen & API bedienen PHP Code e.g. php /usr/local/sbin/artists_against_419/artists_search.php 500 artists_search.php.zip
http://www.malwaredomains.com/frei ausschließlich privatDomain
wget -q http://malwaredomains.lehigh.edu/files/justdomains -O /tmp/malwarelist-malwaredomains
-
http://malc0de.comunbekanntIPs
wget -q http://malc0de.com/bl/IP_Blacklist.txt -O /tmp/malw0de_ips && /usr/bin/tail -n +4 /tmp/malw0de_ips > /usr/local/etc/blacklists/malw0de_ips.acl
-
http://www.spamhaus.orgprivat und kommerziell möglichIP CIDR
wget --quiet --timeout=5 --tries=2 http://www.spamhaus.org/drop/drop.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]{1,2}" > /tmp/spamhaus-droplist
-
https://isc.sans.educreativecommonsIP CIDR /24
wget --quiet --timeout=5 --tries=2 https://isc.sans.edu/block.txt -O - | grep -P -o "^([0-9]{1,3}\.){3}[0-9]{1,3}" | awk '{ print $1"/24" }' > /tmp/dshield-recommended-ips
-
https://www.threatcrowd.org/unbekanntDomain
wget --quiet --timeout=5 --tries=2 https://www.threatcrowd.org/feeds/domains.txt  -O  /tmp/threatcrowd
-
https://www.openphish.comunbekanntURLs
wget --quiet --timeout=5 --tries=2 https://www.openphish.com/feed.txt  -O  /tmp/openfish-feed
-
https://www.squidblacklist.orgfrei für privatSQUID Domain
wget --quiet --timeout=5 --tries=2 https://www.squidblacklist.org/downloads/squid-malicious.acl  -O  /tmp/squid-malicious
-
https://urlhaus.abuse.ch/unbekanntURLs
get --quiet --timeout=5 --tries=2 https://urlhaus.abuse.ch/downloads/text/  -O  /tmp/abuse.ch-urls-malicious
-
https://github.com/mitchellkrogza/Ultimate.Hosts.BlacklistMIT LicenseHostname/Domain
wget --quiet --timeout=5 --tries=2 https://hosts.ubuntu101.co.za/domains.list -O /tmp/mitchellkrogza-domain.acl
Achtung >16Mbyte groß/verschiedenste Kategorien zusammen gewürfelt
https://www.malwarepatrol.net/kommerziellDiverse--
https://otx.alienvault.com/apifrei für privatAPI-
https://bambenekconsulting.com/kommerziell/researcherCSV--
mailsilo.gitlab.iounbekannturls
wget --quiet --timeout=15 --tries=2 https://malsilo.gitlab.io/feeds/dumps/url_list.txt -O /tmp/malsilo_urls.acl && cat /tmp/malsilo_urls.acl | cut -d"," -f 3 | grep -o  -P "(https://|http://).*/"  | cut -d/ -f 3 | sort | uniq  | grep -v -P "([0-9]{1,3}\.){3}[0-9]{1,3}"  | cut -d ":" -f 1 > //tmp/malsilo_urls-clean.acl 
-
https://www.joewein.netfrei für privatdomains/hostnames
wget --quiet --timeout=15 --tries=2 https://www.joewein.net/dl/bl/dom-bl.txt -O /tmp/joewein-bl.acl && cat /tmp/joewein-bl.acl | cut -d";" -f 1 > /tmp/joewein-bl-clean.acl 
-
http://netlab.360.com/unbekanntdomains
wget --quiet "https://data.netlab.360.com/feeds/dga/dga.txt" -O /tmp/netlab360-dga.acl && grep ^[^#] /tmp/netlab360-dga.acl  | awk '{ print $2 }' > /tmp/netlab360-dga-clean.acl
-
https://www.misp-project.org/feeds/unbekanntdiverse-EU gefördert diverse Feeds
https://www.reddit.com/r/pfBlockerNG/unbekanntDomain
( wget --quiet --timeout=30 --tries=2 https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw  -O /tmp/bbcan177-ms2-pfblockerng.acl && grep ^[^#] /tmp/bbcan177-ms2-pfblockerng.acl | awk '{ print $1 }' ) || echo "Could not update bbcan177-ms2-pfblockerng.acl List" 
-
https://zerodot1.gitlab.io/CoinBlockerListsWeb/AGPLDomain/Hostnames
( wget --quiet --timeout=30 --tries=2 https://zerodot1.gitlab.io/CoinBlockerLists/list.txt -O /tmp/zerodot1-coinblocker.acl && cat /tmp/zerodot1-coinblocker.acl ) || echo "Could not update zerodot1-coinblocker.acl List"
Missbrauch durch unerlaubtes CryptoMining
https://www.pulsedive.com/frei für privat ?API--
https://project.turris.cz/en/unbekanntCSVhttps://project.turris.cz/greylist-data/greylist-latest.csvAchtung Betreiber argumentiert nicht als Blacklist zu verwenden / zu Analysezwecken
https://github.com/blocklistproject/Listsfrei verfügbarDomains/Hostnamen
wget -q --timeout=15 --tries=2 -O /tmp/blocklistproject.github.io.acl https://blocklistproject.github.io/Lists/ransomware.txt https://blocklistproject.github.io/Lists/scam.txt https://blocklistproject.github.io/Lists/phishing.txt https://blocklistproject.github.io/Lists/malware.txt && grep -v ^# /tmp/blocklistproject.github.io.acl | uniq | sort | sed '/^$/d' | awk '{ print $2 }'  > /tmp/blocklistproject.github.io.acl )  
Pihole kompatibles Basisformat

IP Reputation

  • IP Reputation Check Listen
  • FIXME
https://check.spamhaus.org/
https://www.ipqualityscore.com/ip-reputation-check
https://www.abuseipdb.com/
https://novasense-threats.com/lookup
https://www.shadowserver.org/what-we-do/network-reporting/api-documentation/
https://www.pulsedive.com

DNSBL

  • Beispiel für systemd Service von dnsbl: /lib/systemd/system/dnsbl-ext-fw.service , Voraussetzungen für Betrieb u.a. ipset wobei das gewählte ipset ein timeout besitzen muss wie auch die comment Option
[Unit]
Description=dnsbl Monitoring EXT-FW
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/sbin/dnsbl-ipset.sh file  /var/log/fw.log grep EXT-FW
KillSignal=9


[Install]
WantedBy=multi-user.target

Kategorien

  • zB: Porn / Streams / Gambling usw..
  • FIXME Google Crawler über API - eigene Listen erstellen :)

CLAMAV

  • Spezielle Rules um die Erkennungsrate zu erhöhen
AnbieterLizenzAnmerkungen
https://securiteinfo.com/für nicht kommerziellen Gebrauch gratisFranzösische Security Firma
https://sanesecurity.com/Kommerzieller Einsatz gratis möglichEs werden Skripte zur Verfügung gestellt
https://www.malwarepatrol.net/kommerziellDiverse andere Formate verfügbar
https://malware.expert/kommerziellPHP Malware Signaturen
https://www.atomicorp.com/kommerziellIm Rahmen anderer Produkte: https://docs.atomicorp.com/AED/supportingDocuments/clamAVSig.html
https://www.rfxn.com/projects/linux-malware-detect/GNU GPLv2 Eigene Skripten oder CLAMAV rules: https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
https://github.com/Cisco-Talos/clamav-safebrowsingGNU GPLv2getestet auf Debian Buster/für Google Safebrowsing mit Google API / Test mit http://malware.wicar.org/
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
know-how/blacklists.txt · Zuletzt geändert: 2022/01/04 14:18 von cc