Rendez-vous sur Arrakis, Le site perso d'un hacker libriste curieux crêpophile étourdi
Le 11/09/2019 à 14:53 dans /Logiciel-libre/OpenBSD/

Ip à blacklister

FREN

Les listes ci-dessous sont gérées avec les scripts suivants. N'hésitez pas à vous en servir et à les télécharger périodiquement (en faisant attention à leur fréquence de mise à jour précisée à chaque fois pour économiser la bande passante, merci 😉).

Spams

Fréquence de mise à jour : toutes les heures et demie .

Voici une liste d'adresses IP qui ont tenté de m'envoyer du spam : prx.traplist

J'en suis persuadé puisque les spams avaient pour destinataire des adresses qui n'existent pas réellement. Ces adresses sont des pièges à robots, vous serez mis sur liste noire et piégés par spamd si vous envoyez un mail à l'une d'elles. Pour en savoir plus, veuillez consulter l'article d'origine.

Vous pouvez télécharger la liste via une tâche cron (ftp, wget…) ou bien directement l'utiliser avec spamd. Elle sera alors récupérée automatiquement chaque fois que la commande /usr/libexec/spamd-setup sera lancée. Lisez la page consacrée à spamd pour en apprendre plus.

Fichier /etc/mail/spamd.conf

   all:\
           :nixspam:prx
   nixspam:\
           :black:\
           :msg="Your address %A is in the nixspam list\n\
           See http://www.heise.de/ix/nixspam/dnsbl_en/ for details":\
           :method=http:\
           :file=www.openbsd.org/spamd/nixspam.gz
   prx:\
           :black:\
           :msg="Your address %A is in prx's list":\
           :method=https:\
           :file=ybad.name/DL/IPlists/prx.traplist

Blacklist avec le parefeu (pf)

Fréquence de mise à jour : chaque nuit peu après 1h30.

Voici plusieurs listes d'IP que vous pouvez blackliser avec pf.

Bruteforceurs

Ce premier fichier contient la liste des IP qui ont tenté un bruteforce sur mon serveur (sur ssh, accès mail ou un wordpress imaginaire), repérés avec vilain.

prx.brutes

Pour l'utiliser avec pf, /etc/pf.conf :

   table <prx> persist file "/var/prx.brutes"
   block log quick from <prx>

BlockZones

/etc/pf.conf :

   set limit table-entries 400000
   table <t_badips> persist file "/var/blockzones/badips_ipv4"
   table <t_badips6> persist file "/var/blockzones/badips_ipv6"
   table <t_bogons4> persist file "/var/blockzones/bogons_ipv4"
   table <t_bogons6> persist file "/var/blockzones/bogons_ipv6"
   block log quick from { <t_badips>, <t_badips6>, <t_bogons4>, <t_bogons6> }

Merci à Stéphane HUC pour son outil qui sert à générer ces listes.

Blocage par DNS

Via le fichier /etc/hosts

Fréquence de mise à jour : chaque semaine le samedi peu après 3h30.

Cette méthode est valide pour tous les systèmes de type UNUIX, mais peut-être pas la plus rapide.

Vous trouverez en suivant le lien ci-dessous un fichier /etc/hosts à décompresser qui contient plus de 100 000 domaines malveillants ou publicitaires, tous blacklistés. Je détaille la procédure servant à fabriquer ce fichier et son intérêt sur cette page.

hosts.gz

Avec le résolveur unwind

Tout est détaillé ici unwind, mais c'est réservé à OpenBSD :).

Blacklist bad IP

Below, you can find lists of evil IP (spammers, bruteforcers…). The lists are generated with some scripts periodically. You can use them freely, but please, check when they are updated to save my bandwidth : it is mentionned for each of them.

Spams

Updated : hourly at 30min past

The following tried to send spam (in spamtraps). prx.traplist

See this article (french) for more information.

Firewall blacklists

Updated : daily a few minute after 1h30 AM

Bruteforcers

Bruteforcers found using vilain.

prx.brutes

/etc/pf.conf :

   table <prx> persist file "/var/prx.brutes"
   block log quick from <prx>

BlockZones

This project gather bad ip lists from different sources using Stéphane HUC’s work.

/etc/pf.conf :

   set limit table-entries 400000
   table <t_badips> persist file "/var/blockzones/badips_ipv4"
   table <t_badips6> persist file "/var/blockzones/badips_ipv6"
   table <t_bogons4> persist file "/var/blockzones/bogons_ipv4"
   table <t_bogons6> persist file "/var/blockzones/bogons_ipv6"
   block log quick from { <t_badips>, <t_badips6>, <t_bogons4>, <t_bogons6> }

DNS filter

With file /etc/hosts

Updated : weekly a few minute after 3h30 AM

Below, a /etc/hosts compressed file containing more than 100 000 evil domains. See the script (fr).

hosts.gz

With unwind

See unwind, but it’s for OpenBSD only :).