[ОТВЕТИТЬ]
10.12.2014 20:53
OlegON
 
В интернете много ботов и прочих хакеров, которые только и хотят, что подобрать пароль к вашему компьютеру/серверу. Самым правильным вариантом будет, конечно, перекрытие всего снаружи полностью и открывание портов только для конкретных адресов, но иногда это невозможно в силу динамичности этих самых адресов или по еще каким-то причинам.

Чтобы не ловить мошенников в одиночку, предлагаю использовать новый сервис, пополняя базу данных мошенников совместными усилиями.

Итак, здесь, собственно, черный список IP-адресов с информацией по каждому адресу.
Можете посмотреть информацию по любому IP-адресу, в том числе узнать город по IP-адресу.
Информация по местоположению по России и Украине предоставлена IpGeoBase, по остальному миру - MaxMind, за что им выражается особая благодарность. Базы обновляются еженедельно.

Можете скачать базу черных IP в текстовом формате для : Windows и Linux.
Чтобы четко соответствовать правилам наполнения, база была обнулена сразу после написания этого сообщения.

Можно не только пользоваться готовыми данными, но и добавлять их в базу, например, я, при бане адреса выполняю следующую строку.
Код:
wget -q -O /dev/null "https://olegon.ru/badip/put.php?ip=IP_АДРЕС&email=МОЙ_ЕМЕЙЛ&key=МОЙ_КЛЮЧ"
можно хоть в браузере обратиться к адресу
Код:
https://olegon.ru/badip/put.php?ip=АДРЕС&email=МОЙ_ЕМЕЙЛ&key=МОЙ_КЛЮЧ
но для того, чтобы это работало, необходимо зайти сюда и заполнить поле "Проверочный код сервисов OlegON". Это и есть ключ. Вбивайте что угодно, длиной не более 32 символов и состоящее только из латинских букв разного регистра и цифр, например "YaNeYojik1900" вполне подходит. Суть - добавленный IP привязан к профилю пользователя форума. И, во избежание спама, этот профиль должен быть подтвержденный и незабаненый.

Обращаю внимание, что в базу вносятся исключительно адреса хостов, уличенных в попытках взлома и других действиях, нацеленных на прямое вредительство, таких как: а) перебор паролей б) DDoS в) попытки подключения к закрытым сервисам

Не следует вносить в базу адрес, если он рассылает спам, принадлежит враждебному Вам лицу и т.п.
При попытках компрометировать базу адресов, учетная запись блокируется, а все внесенные от ее имени данные удаляются.

Все вопросы, замечания, предложения по сервису - тут, в этой теме.
10.12.2014 21:08
Micle
 
Буду участвовать! Сейчас занимаюсь переездом на новый шлюз. В рамках его запуска и буду проводить интеграцию по "Черному списку".

Мои критерии блокировки соответствуют критериям Олега. А именно подбор пароля, DDOS.

Предложение по получению списка следующее: в параметрах запроса организовать передачу предпочтений по разделителю IP адресов, а так-же потребность в IPv4, IPv6 адресах.
10.12.2014 22:02
OlegON
 
Принято, разделитель сделаю. А вот ipv6 точно нужен? Вроде как его еще не везде и подняли...
10.12.2014 22:14
Micle
 
v6 прям сейчас и лично мне нафиг не нужен. Просто вспомнилось о его существовании :)
10.12.2014 22:42
OlegON
 
Поправил, в
Код:
https://olegon.ru/badip/list.php?delim=linux
если не задавать delim, то будет текст с виндовым \r\n, если задать равным linux - \n. Во всех остальных случаях разделителем будет то, что впишете.
15.12.2014 12:12
OlegON
 
поправил шапку...
19.12.2014 22:01
Micle
 
Для IP адресов, сортировка не корректна.

Вот так не правильно
Код:
1.161.18.64
103.41.124.12
23.253.20.190
Правильно вот так:
Код:
1.161.18.64
23.253.20.190
103.41.124.12

Если правильная сортировка трудно реализуема, лучше вообще не сортировать. На freebsd мне всёравно приходится этот список прогонять через sort -V
19.12.2014 22:19
OlegON
 
Правильная (natural) сортировка поест сильно ресурсы, мне придется преобразовать IP в число, как я это делаю при поиске принадлежности к подсети или загонять весь список в массив PHP для natsort, а список обещает быть большим.
Сейчас сортировка алфавитная, все же проще найти IP, если это знать, хоть не весь список перебирать глазами.

А, собственно, зачем его сортировать?
19.12.2014 22:35
Micle
 
Цитата:
OlegON А, собственно, зачем его сортировать?
а хотя бы для сопоставления со своим текущим на предмет новых адресов в моём списке.
например так:
Код:
diff block.ip olegon.ip -d | grep "<" | sed s/'< '/''/g > my_unique.ip
Далее эти адреса подлежат отправке в общий список. У меня, чаще всего, не возникает никакого события при блокирове IP. Есть правила для PF по которым он сам блочит адреса. Если интересно могу подробнее.
19.12.2014 22:44
OlegON
 
Да теоретически правил-то можно написать ведро :) У меня, помимо ловушек на стандартных портах (например, подключение на 22 порт автоматом ставит хост в бан), еще и журнал анализируется. Тот же iptables может в лог писать при каких-то событиях, анализатор эти записи смотрит и банит. Обсудить бы можно, но публично описывать эти ловушки... Небезопасно. :)
19.12.2014 22:45
Micle
 
Принципиально, мне не сложно сортировать 1-2 раза в час.
19.12.2014 23:06
OlegON
 
Если автоматом, то зачем сортировать-то? Засовывай целиком, на дубли ругаться будет - в /dev/null
19.12.2014 23:13
Micle
 
с учётом того, что1 адрес = 1 запрос.. зачем перетруждать интернет? )))
19.12.2014 23:28
Micle
 
Ну что проба пера.. через пару минут будет попытка залить моих нарушителей в твой список ))



UPD: Удачно?
20.12.2014 08:23
OlegON
 
Попробовал от твоего имени - все получилось, посмотри внимательно с wget пример или в браузере. И посмотри, что в ответ приходит, должно 1, если добавлено.
20.12.2014 10:07
Micle
 
аж стыдно ))) wget не стоял ))))
17.01.2015 22:01
OlegON
 
Да, "синие" юзеры добавлять не могут. Внезапных "левых" пополнений списка от только зарегистрировавшихся нам не надо.
Не хотите порекламировать среди друзей? Нормальный же сервис...

И еще вопрос, следует ли организовать обмен забаненными подсетями? У меня, например, автоматом подсеть не банится. И вообще только одна забаненная. Просто если речь идет про одну - две, то лучше их здесь перечислять, например

136.243.0.0/16 на текущий момент забанена у меня.
10.02.2015 09:22
Micle
 
Олег, проверь раздачу списка

Код:
1.161.17.190linux?delim=linux1.161.18.64..................
10.02.2015 09:53
OlegON
 
извини, не понял, что именно проверять... по ссылкам в первом сообщении все нормально...
10.02.2015 12:14
Micle
 
Цитата:
OlegON извини, не понял, что именно проверять... по ссылкам в первом сообщении все нормально...
мне приежает файл с разделителями как я привёл в примере. Получаю его так:

Код:
fetch -q -o - "https://olegon.ru/badip/list.php?delim=linux" | sort -V > /root/pf/tables/olegon.ip

UPD: проблема сейчас не воспроизводится. Исправил?
10.02.2015 12:22
OlegON
 
вообще не трогал :(
10.02.2015 12:30
Micle
 
Цитата:
OlegON вообще не трогал :(
мистика...
Опции темы


Часовой пояс GMT +3, время: 06:26.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.