Ip nuisibles à blacklister

Je propose en téléchargement quelques listes d'IP malveillantes recueillies par mes soins. Il y en a pour tous les gouts : spam, bruteforce, anti-pub...

Téléchargez les listes périodiquement en faisant attention à leur fréquence de mise à jour précisée à chaque fois pour économiser la bande passante, merci 😉.

TL ; DR

ftp -o- $url.gz | gzcat > out.txt
pfctl -t <table> -T replace -f out.txt

Blacklist avec le parefeu (pf)

Fréquence de mise à jour : chaque nuit peu après 1h30. Voici plusieurs listes d'IP que vous pouvez blackliser avec pf.

Bruteforceurs

Ce premier fichier contient la liste des IP qui ont tenté un bruteforce sur mon serveur ces dernières 24 heures (sur ssh, accès mail ou un wordpress imaginaire) ou bien scanné pour un service inexistant (repérés à l'aide d'iblock).

Pour l'utiliser avec pf, /etc/pf.conf :

table <prx> persist file "/var/prx.brutes"
block log quick from <prx>

pf-badhost

Vous pouvez récupérer la liste du projet pf-badhost

Blocage par DNS

Via le fichier /etc/hosts

Fréquence de mise à jour : chaque semaine le dimanche peu après 1h30. Cette méthode est valide pour tous les systèmes de type UNIX.

Vous trouverez en suivant le lien ci-dessous un fichier /etc/hosts à décompresser qui contient plus de 100 000 domaines malveillants ou publicitaires, tous blacklistés.

Dans le fichier /etc/rc.local (OpenBSD), on pourra y mettre:

if [ -n "$(find /etc/hosts -mtime +7)" ]; then
	# wait for internet access
	while true; do
		nc -zw1 si3t.ch 443 && break || sleep 60
	done
    curl -L https://si3t.ch/pub/hosts.txt.gz | gunzip > /etc/hosts
fi

Sur linux, avec systemd, il n'y a plus de rc.local. On peut alors copier le script ci-dessus dans /usr/local/sbin/uphosts, puis l'appeler via une tache cron:

@reboot /usr/local/sbin/uphosts

Pour les utilisateurs d'unwind (openbsd), voici un fichier contenant les domaines correspondants (à utiliser à la place de zerohost):

Blacklist bad IP

Below, you can find lists of evil IP (spammers, bruteforcers...). The lists are generated with some scripts periodically. You can use them freely, but please, check when they are updated to save my bandwidth : it is mentionned for each of them.

Firewall blacklists

Updated : daily a few minute after 1h30 AM

Bruteforcers

Bruteforcers or port scannerds found within last 24h. (using pf overload rule and iblock).

/etc/pf.conf :

table <prx> persist file "/var/prx.brutes"
block log quick from <prx>

pf-badhost

Get the list from pf-badhost project

DNS filter

With file /etc/hosts

Updated : weekly a few minute after 3h30 AM

Below, a /etc/hosts compressed file containing more than 100 000 evil domains.

If you use unwind (OpenBSD) as resolver, you can add this list to block list :