Forwarded from cRyPtHoN™ INFOSEC (DE)
Täglicher Feed von bösartigen IPs (mit Blacklist-Hitscores)
IPsum ist ein Threat Intelligence Feed, der auf über 30 verschiedenen öffentlich zugänglichen Listen mit verdächtigen und/oder bösartigen IP-Adressen basiert. Alle Listen werden täglich (24 Stunden) automatisch abgerufen und analysiert, und das Endergebnis wird an dieses Repository weitergeleitet. Die Liste besteht aus IP-Adressen zusammen mit einer Gesamtzahl der (schwarzen) Listen (für jede einzelne). Je höher die Anzahl, desto geringer ist die Chance auf eine falsch positive Erkennung und/oder das Einbrechen in den (eingehenden) überwachten Verkehr. Außerdem wird die Liste von den meisten (problematischen) bis zu den am wenigsten vorkommenden IP-Adressen sortiert.
💡 Um beispielsweise eine frische und sofort einsatzbereite Auto-Ban-Liste von "bösartigen IPs" zu erhalten, die auf mindestens 3 (schwarzen) Listen erscheinen, können Sie eine solche Liste aufrufen:
https://github.com/stamparm/ipsum
#IPsum #tool #guide
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
IPsum ist ein Threat Intelligence Feed, der auf über 30 verschiedenen öffentlich zugänglichen Listen mit verdächtigen und/oder bösartigen IP-Adressen basiert. Alle Listen werden täglich (24 Stunden) automatisch abgerufen und analysiert, und das Endergebnis wird an dieses Repository weitergeleitet. Die Liste besteht aus IP-Adressen zusammen mit einer Gesamtzahl der (schwarzen) Listen (für jede einzelne). Je höher die Anzahl, desto geringer ist die Chance auf eine falsch positive Erkennung und/oder das Einbrechen in den (eingehenden) überwachten Verkehr. Außerdem wird die Liste von den meisten (problematischen) bis zu den am wenigsten vorkommenden IP-Adressen sortiert.
💡 Um beispielsweise eine frische und sofort einsatzbereite Auto-Ban-Liste von "bösartigen IPs" zu erhalten, die auf mindestens 3 (schwarzen) Listen erscheinen, können Sie eine solche Liste aufrufen:
curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1💡 Wenn Sie es mit ipset ausprobieren wollen, können Sie folgendes tun:
sudo suIn den Verzeichnisebenen können Sie vorverarbeitete Roh-IP-Listen finden, die auf der Anzahl der Blacklist-Vorkommen basieren (z.B. Level/3.txt enthält IP-Adressen, die auf 3 oder mehr Blacklists gefunden werden können).
apt-get -qq install iptables ipset
ipset -q flush ipsum
ipset -q create ipsum hash:net
for ip in $(curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1); do ipset add ipsum $ip; done
iptables -I INPUT -m set --match-set ipsum src -j DROP
https://github.com/stamparm/ipsum
#IPsum #tool #guide
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN