si3t.ch> cd /

Ip nuisibles à blacklister

Je propose en téléchargement quelques listes d'IP malveillantes recueillies par mes soins. Il y en a pour tous les gouts : spam, bruteforce, anti-pub...

Téléchargez les listes périodiquement sachant qu'elles sont mises à jour chaque nuit à 0h42 pour économiser la bande passante, merci 😉.

Chaque liste est disponible en version gzippée, il suffit d'ajouter ".gz" à la fin d'un lien, ou utiliser "curl --compressed".

TL ; DR

prx-brutes.txt

pf-badhost.txt

hosts.txt

unwind-block.txt (domain list)

unbound-adblock.rpz

curl -o out.txt --compressed $url
# or
ftp -o- $url.gz | gzcat > out.txt
pfctl -t <table> -T replace -f out.txt

Si besoin:

# cat /etc/pf.conf
[...]
set limit table-entries 409600

Blacklist avec le parefeu (pf)

Bruteforceurs

prx-brutes.txt : ce premier fichier contient la liste des IP qui ont tenté un bruteforce sur mon serveur ces dernières 24 heures (sur ssh, accès mail ou un wordpress imaginaire) ou bien scanné pour un service inexistant.

Pour l'utiliser avec pf, /etc/pf.conf :

table <prx> persist file "/var/prx-brutes.txt"
block log quick from <prx>

pf-badhost

Vous pouvez récupérer la liste du projet pf-badhost (site officiel)

pf-badhost.txt

pf-badhost.txt.gz

Blocage par DNS

Via le fichier /etc/hosts

Cette méthode est valide pour tous les systèmes de type UNIX.

Cette liste permet d'éviter à votre système de se connecter à certains domaines malveillants. C'est une méthode facile et efficace de se protéger contre des popups, pièges, traceurs... Tout en allégeant la bande passante.

Vous trouverez en suivant ce lien un fichier /etc/hosts à décompresser qui contient plus de 100 000 domaines malveillants ou publicitaires, tous blacklistés.

Dans le fichier /usr/local/sbin/uphosts, on pourra y mettre:

if [ -n "$(find /etc/hosts -mtime +7)" ]; then
	# wait for internet access
	while true; do
		nc -zw1 si3t.ch 443 && break || sleep 60
	done
    curl -o /etc/hosts --compressed https://si3t.ch/pub/evils/hosts.txt
    # or
    #ftp -o- https://si3t.ch/pub/evils/hosts.txt.gz |gzcat > /etc/hosts
fi

N'oubliez pas de rendre uphosts éxécutable :

chmod +x /usr/local/sbin/uphosts

Enfin, ajoutez une tâche cron à root avec ''crontab -e'':

@reboot /usr/local/sbin/uphosts

Pour les plus curieu(ses|x), voici comment j'obtiens cette liste.

Vous pouvez faire de même avec unwind (openbsd), un résolveur local. Voici un fichier contenant les domaines correspondants à utiliser à la place du host ci-dessus ou comme liste pour ublock origin :

unwind-block.txt.gz

unwind-block.txt

Enfin, pour les utilisateurs d'unbound, voici le fichier rpz correspondant.

unbound-adblock.rpz

# unbound.conf
        module-config: "respip validator iterator"

rpz:
        name: "unbound-adblock"
        zonefile: "/path/to/unbound-adblock.rpz"
        rpz-log: yes
        rpz-log-name: "unbound-adblock"

Blacklist bad IP

Below, you can find lists of evil IP (spammers, bruteforcers...). The lists are generated with some scripts periodically. You can use them freely, but please, check when they are updated to save my bandwidth : it is mentionned for each of them.

Each file is avaiable gzipped : add ".gz" at the end of a link or use "curl --compressed" to download a lighter version.

Firewall blacklists

Updated : daily a few minute after 1h30 AM

Bruteforcers

Bruteforcers or port scanners found within last 24h.

prx-brutes.txt

prx-brutes.txt.gz

/etc/pf.conf :

table <prx> persist file "/var/prx-brutes.txt"
block log quick from <prx>

pf-badhost

Get the list from pf-badhost project

pf-badhost.txt.gz

pf-badhost official site

DNS filter

With file /etc/hosts

As described at someonewhocares.org :

Use this file to prevent your computer from connecting to selected internet hosts. This is an easy and effective way to protect you from many types of spyware, reduces bandwidth use, blocks certain pop-up traps, prevents user tracking by way of "web bugs" embedded in spam, provides partial protection to IE from certain web-based exploits and blocks most advertising you would otherwise be subjected to on the internet.

Updated : weekly a few minute after 3h30 AM

Below, a /etc/hosts compressed file containing more than 100 000 evil domains.

hosts.txt

If you use unwind (OpenBSD) as resolver or ublock origin, you can add this list to block list :

unwind-block.txt

Or for unbound :

unbound-adblock.rpz


[XHTML 1.1 valid] [CSS < 256B] [] [http/Tor]