Forwarded from cRyPtHoN™ INFOSEC (DE)
Täglicher Feed von bösartigen IPs (mit Blacklist-Hitscores)
IPsum ist ein Threat Intelligence Feed, der auf über 30 verschiedenen öffentlich zugänglichen Listen mit verdächtigen und/oder bösartigen IP-Adressen basiert. Alle Listen werden täglich (24 Stunden) automatisch abgerufen und analysiert, und das Endergebnis wird an dieses Repository weitergeleitet. Die Liste besteht aus IP-Adressen zusammen mit einer Gesamtzahl der (schwarzen) Listen (für jede einzelne). Je höher die Anzahl, desto geringer ist die Chance auf eine falsch positive Erkennung und/oder das Einbrechen in den (eingehenden) überwachten Verkehr. Außerdem wird die Liste von den meisten (problematischen) bis zu den am wenigsten vorkommenden IP-Adressen sortiert.
💡 Um beispielsweise eine frische und sofort einsatzbereite Auto-Ban-Liste von "bösartigen IPs" zu erhalten, die auf mindestens 3 (schwarzen) Listen erscheinen, können Sie eine solche Liste aufrufen:
https://github.com/stamparm/ipsum
#IPsum #tool #guide
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
IPsum ist ein Threat Intelligence Feed, der auf über 30 verschiedenen öffentlich zugänglichen Listen mit verdächtigen und/oder bösartigen IP-Adressen basiert. Alle Listen werden täglich (24 Stunden) automatisch abgerufen und analysiert, und das Endergebnis wird an dieses Repository weitergeleitet. Die Liste besteht aus IP-Adressen zusammen mit einer Gesamtzahl der (schwarzen) Listen (für jede einzelne). Je höher die Anzahl, desto geringer ist die Chance auf eine falsch positive Erkennung und/oder das Einbrechen in den (eingehenden) überwachten Verkehr. Außerdem wird die Liste von den meisten (problematischen) bis zu den am wenigsten vorkommenden IP-Adressen sortiert.
💡 Um beispielsweise eine frische und sofort einsatzbereite Auto-Ban-Liste von "bösartigen IPs" zu erhalten, die auf mindestens 3 (schwarzen) Listen erscheinen, können Sie eine solche Liste aufrufen:
curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1💡 Wenn Sie es mit ipset ausprobieren wollen, können Sie folgendes tun:
sudo suIn den Verzeichnisebenen können Sie vorverarbeitete Roh-IP-Listen finden, die auf der Anzahl der Blacklist-Vorkommen basieren (z.B. Level/3.txt enthält IP-Adressen, die auf 3 oder mehr Blacklists gefunden werden können).
apt-get -qq install iptables ipset
ipset -q flush ipsum
ipset -q create ipsum hash:net
for ip in $(curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1); do ipset add ipsum $ip; done
iptables -I INPUT -m set --match-set ipsum src -j DROP
https://github.com/stamparm/ipsum
#IPsum #tool #guide
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Maltrail - IPsum
Maltrail ist ein System zur Erkennung von schädlichem Datenverkehr, das öffentlich zugängliche (Black-)Listen verwendet, die schädliche und/oder allgemein verdächtige Spuren enthalten, zusammen mit statischen Spuren, die aus verschiedenen AV-Berichten und benutzerdefinierten Listen zusammengestellt wurden.
💡Architektur
Maltrail basiert auf der Traffic -> Sensor <-> Server <-> Client-Architektur. Der/die Sensor(en) ist/sind eine eigenständige Komponente, die auf dem Überwachungsknoten (z.B. Linux-Plattform, die passiv mit dem SPAN/Mirroring-Port verbunden ist oder transparent inline auf einer Linux-Bridge läuft) oder auf dem eigenständigen Rechner (z.B. Honeypot) läuft, wo er/sie den durchlaufenden Traffic auf Blacklist-Items/Trails (d.h. Domain-Namen, URLs und/oder IPs) "überwacht". Im Falle einer positiven Übereinstimmung sendet es die Ereignisdetails an den (zentralen) Server, wo sie im entsprechenden Logging-Verzeichnis (d.h. LOG_DIR, beschrieben im Abschnitt Konfiguration) gespeichert werden. Wenn der Sensor auf demselben Rechner wie der Server betrieben wird (Standardkonfiguration), werden die Protokolle direkt im lokalen Protokollierungsverzeichnis gespeichert. Andernfalls werden sie über UDP-Nachrichten an den entfernten Server gesendet (d.h. LOG_SERVER, beschrieben im Abschnitt Konfiguration).
👀 👉🏼 https://github.com/stamparm/maltrail#introduction
👀 👉🏼 ipsum:
https://github.com/stamparm/ipsum
#stamparm #maltrail #ipsum #tool #malicious #detection #blacklist
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Maltrail ist ein System zur Erkennung von schädlichem Datenverkehr, das öffentlich zugängliche (Black-)Listen verwendet, die schädliche und/oder allgemein verdächtige Spuren enthalten, zusammen mit statischen Spuren, die aus verschiedenen AV-Berichten und benutzerdefinierten Listen zusammengestellt wurden.
💡Architektur
Maltrail basiert auf der Traffic -> Sensor <-> Server <-> Client-Architektur. Der/die Sensor(en) ist/sind eine eigenständige Komponente, die auf dem Überwachungsknoten (z.B. Linux-Plattform, die passiv mit dem SPAN/Mirroring-Port verbunden ist oder transparent inline auf einer Linux-Bridge läuft) oder auf dem eigenständigen Rechner (z.B. Honeypot) läuft, wo er/sie den durchlaufenden Traffic auf Blacklist-Items/Trails (d.h. Domain-Namen, URLs und/oder IPs) "überwacht". Im Falle einer positiven Übereinstimmung sendet es die Ereignisdetails an den (zentralen) Server, wo sie im entsprechenden Logging-Verzeichnis (d.h. LOG_DIR, beschrieben im Abschnitt Konfiguration) gespeichert werden. Wenn der Sensor auf demselben Rechner wie der Server betrieben wird (Standardkonfiguration), werden die Protokolle direkt im lokalen Protokollierungsverzeichnis gespeichert. Andernfalls werden sie über UDP-Nachrichten an den entfernten Server gesendet (d.h. LOG_SERVER, beschrieben im Abschnitt Konfiguration).
👀 👉🏼 https://github.com/stamparm/maltrail#introduction
👀 👉🏼 ipsum:
https://github.com/stamparm/ipsum
#stamparm #maltrail #ipsum #tool #malicious #detection #blacklist
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
GitHub
GitHub - stamparm/maltrail: Malicious traffic detection system
Malicious traffic detection system. Contribute to stamparm/maltrail development by creating an account on GitHub.