Rendez-vous sur Arrakis

C'est lorsque nous croyons savoir quelque chose qu'il faut justement réfléchir un peu plus profondément. F. Herbert

Listes d'IP à ignorer [updated]

Sur le même modèle que bsdly.net , je publie désormais des listes d'IP connues pour être nuisibles ou émettrices de spam.

La page contenant les listes se trouve ici : Vilaines IP

Vous y trouverez des IP à blacklister avec le parefeu générées régulièrement avec le projet BlockZones. PengouinPdt fait la même chose ici. :)

De même, vous trouverez en complément de la traplist une liste des IPs qui m'ont envoyé du spam. Comme j'utilise déjà d'autres listes très complètes, elle est pour l'instant très maigre, mais elle sera mise à jour automatiquement.

J'utilise des tâche cron pour périodiquement copier les listes d'IP filtrées.
Pour repérer le spam, il me suffit de filtrer l'état de spamd. Lorsqu'un émetteur de spam est piégé, on le repère facilement avec le flag ‘TRAPPED’.
J'adore spamd. En laissant trainer une fausse adresse blackhole@yeuxdelibad.net , je sais que ce sont des bots qui écrivent dessus. Outre le fait qu'ils sont piégés pendant un certain temps et ralentis, je retiens maintenant leur IP pour que tout le monde en profite. Nanananère :P

(n'écrivez pas à l'adresse ci-dessus XD)

Voici le script que j'utilise :

#!/bin/sh
 # Auteur :      thuban <thuban@yeuxdelibad.net>
 # licence :     MIT
 
 # Keep in /var/thuban.traplist
 # IPs that used to be trapped.
 #
 # Use in in spamd.conf with :
 
 ###
 #
 #all:\
 #        :nixspam:myblack
 
 #myblack:\
 #        :black:\
 #        :msg="Your are spam !":\
 #        :method=file:\
 #        :file=/var/thuban.traplist
 
 ###
 
 BLACKFILE=/var/thuban.traplist
 touch $BLACKFILE
 
 /usr/sbin/spamdb | grep "TRAPPED|" | cut -d'|' -f2 >> $BLACKFILE
 
 # keep uniq
 /usr/bin/sort -u $BLACKFILE -o $BLACKFILE
 
 # reload spamd
 /usr/libexec/spamd-setup
 exit 0
 

enjoy ;)

EDIT : j'ai ajouté une nouvelle liste qui contient les IP de bruteforceurs détectés avec vilain.

le 14/03/2017 à 19:09:46, 22Decembre a dit :

Tu fais gaffe à pas bannir l'ip trop longtemps. Les ip sont très souvent issus de pc zombies plus ou moins innocents. Et les ip tournent aussi (assignation dynamique).

le 14/03/2017 à 19:24:10, thuban a dit :

@22Decembre : oui j'y pense ;)
Ça fait une bibliothèque assez dense qui permettra par la suite de repérer les IP qui réapparaissent.

le 15/03/2017 à 09:43:22, PengouinPdt a dit :

Merci. ;)

En effet, dans le projet BlockZones (avec un ’s' :p), il y a la gestion des “badips” possibles, générées à partir de différentes listes, certaines par des sociétés bien ancrées sur le segment du spam, notamment spamhaus.

Pour ladite entreprise, il y a à minima trois listes différentes, qui restituent un lot d'ips vraiment “sales” :
- http://www.spamhaus.org/drop/drop.txt
- http://www.spamhaus.org/drop/edrop.txt
- https://www.spamhaus.org/drop/dropv6.txt

T'es-tu amusé à regarder si les addr ips que tu génères ne sont pas dans une des listes en question ?

Tu te sers des listes badips générées par mon projet BZ, dans ton PF, elles ne pourraient pas fonctionner dans ton contexte de projet “vilain” ?

le 15/03/2017 à 11:01:32, thuban a dit :

@PengouinPdt : Non, je n'ai pas comparé, mais ça métonnerait car j'utilise ces listes, donc ces IP sont bloquées en amont.

le 17/02/2018 à 09:44:36, Lucas a dit :

Infos perso : Raspberry Pi 3 servant de serveur WEB + serveur SMTP + camera de surveillance + NAS

Bonjour,

Je voulais juste laisser un merci au webmestre de se site qui par la clarté de celui-ci m'a permis d'améliorer mon IPTABLES.

juste pour info, pour éviter de mettre sans cesse à jour mon fichier IP à bannir ( avec en plus jail2ban) j'ai mis en place sur IPTABLES une petite automatisation comme suit :

# Bloquer une BlackList d'IP connues pour les attaques
# http://lists.blocklist.de/lists/ssh.txt

wget http://www.spamhaus.org/drop/drop.txt -O /home/pi/BlackListIP.txt

echo “Application de la liste de Blocage IP”

BLOCKED_IP=“/home/pi/BlackListIP.txt”
if [ -f $BLOCKED_IP ]; then
while read BLOCKED; do
iptables -A INPUT -s $BLOCKED -j DROP
done < $BLOCKED_IP
fi

echo “Toutes les IP de la liste sont bloquées”

le 17/02/2018 à 09:47:25, lucas a dit :

@Lucas :
pour info j'ai laissé : http://lists.blocklist.de/lists/ssh.txt qui ai aussi bien mais pas fréquemment mis à jour par rapport à http://www.spamhaus.org/drop/drop.txt