Rendez-vous sur Arrakiss
Table des matières

    Ip nuisibles à blacklister

    TL ; DR

    ftp -o- $url.gz | gzcat > out.txt
    pfctl -t <table> -T replace -f out.txt
    

    FREN

    Téléchargez les listes périodiquement en faisant attention à leur fréquence de mise à jour précisée à chaque fois pour économiser la bande passante, merci 😉.

    Spams

    Fréquence de mise à jour : toutes les heures et demie.

    Voici une liste d’adresses IP qui ont tenté de m’envoyer du spam : prx.traplist.gz

    J’en suis persuadé puisque les spams avaient pour destinataire des adresses qui n’existent pas réellement. Ces adresses sont des pièges à robots, vous serez mis sur liste noire et piégés par spamd si vous envoyez un mail à l’une d’elles. Pour en savoir plus, veuillez consulter l’article d’origine.

    Vous pouvez télécharger la liste via une tâche cron (ftp, wget…) ou bien directement l’utiliser avec spamd. Elle sera alors récupérée automatiquement chaque fois que la commande /usr/libexec/spamd-setup sera lancée. Lisez la page consacrée à spamd pour en apprendre plus.

    Fichier /etc/mail/spamd.conf

       all:\
               :nixspam:prx
       nixspam:\
               :black:\
               :msg="Your address %A is in the nixspam list\n\
               See http://www.heise.de/ix/nixspam/dnsbl_en/ for details":\
               :method=http:\
               :file=www.openbsd.org/spamd/nixspam.gz
       prx:\
               :black:\
               :msg="Your address %A is in prx's list":\
               :method=https:\
               :file=ybad.name/pub/iplists/prx.traplist
    

    Blacklist avec le parefeu (pf)

    Fréquence de mise à jour : chaque nuit peu après 1h30.

    Voici plusieurs listes d’IP que vous pouvez blackliser avec pf.

    Bruteforceurs

    Ce premier fichier contient la liste des IP qui ont tenté un bruteforce sur mon serveur ces dernières 24 heures (sur ssh, accès mail ou un wordpress imaginaire), repérés avec vilain.

    prx.brutes.gz

    Pour l’utiliser avec pf, /etc/pf.conf :

       table <prx> persist file "/var/prx.brutes"
       block log quick from <prx>
    

    pf-badhost

    Vous pouvez récupérer la liste du projet pf-badhost : pf-badhost.txt.gz

    Blocage par DNS

    Via le fichier /etc/hosts

    Fréquence de mise à jour : chaque semaine le dimanche peu après 1h30.

    Cette méthode est valide pour tous les systèmes de type UNIX.

    Vous trouverez en suivant le lien ci-dessous un fichier /etc/hosts à décompresser qui contient plus de 100 000 domaines malveillants ou publicitaires, tous blacklistés. Je détaille la procédure servant à fabriquer ce fichier et son intérêt sur cette page.

    hosts.txt.gz

    Blacklist bad IP

    Below, you can find lists of evil IP (spammers, bruteforcers…). The lists are generated with some scripts periodically. You can use them freely, but please, check when they are updated to save my bandwidth : it is mentionned for each of them.

    Spams

    Updated : hourly at 30min past

    The following tried to send spam (in spamtraps). prx.traplist.gz

    See this article (french) for more information.

    Firewall blacklists

    Updated : daily a few minute after 1h30 AM

    Bruteforcers

    Bruteforcers found within last 24h using vilain, sshguard and pf.

    prx.brutes.gz

    /etc/pf.conf :

       table <prx> persist file "/var/prx.brutes"
       block log quick from <prx>
    

    pf-badhost

    Get the list from pf-badhost project: pf-badhost.txt.gz

    DNS filter

    With file /etc/hosts

    Updated : weekly a few minute after 3h30 AM

    Below, a /etc/hosts compressed file containing more than 100 000 evil domains. See the script (fr).

    hosts.txt.gz