Ars Longa, Vita Brevis

Список взломщиков, полученный на основе анализа журнала безопасности

Анализируя журнал безопасности системы, я добавляю в iptables правила, блокирующие доступ с адресов, с которых замечены попытки вторжения. В большинстве случаев в черный список попадают товарищи, пытающиеся залезть в систему по SSH; иногда я добавляю злостных хакеров, пытающихся устроить DoS или проводящих SQL injection/сканирование на наличие уязвимостей (поиск таких вот товарищей приходится осуществлять вручную, ибо их методы очень различны, и автоматический анализатор, дающий хотя бы 85% гарантию обнаружения, я пока еще не написал).

В надежде, что этот список (оформленный в виде правил для iptables) окажется кому-нибудь полезным (он будет периодически обновляться), выкладываю его в общее пользование.

[-]
View Code Bash
iptables -I INPUT -s 88.191.0.0/16 -j DROP
iptables -I INPUT -s 195.146.32.0/24 -j DROP
iptables -I INPUT -s 211.20.47.0/24 -j DROP
iptables -I INPUT -s 61.32.0.0/16 -j DROP
iptables -I INPUT -s 61.33.0.0/16 -j DROP
iptables -I INPUT -s 61.34.0.0/16 -j DROP
iptables -I INPUT -s 61.35.0.0/16 -j DROP
iptables -I INPUT -s 61.36.0.0/16 -j DROP
iptables -I INPUT -s 61.37.0.0/16 -j DROP
iptables -I INPUT -s 61.38.0.0/16 -j DROP
iptables -I INPUT -s 61.39.0.0/16 -j DROP
iptables -I INPUT -s 61.40.0.0/16 -j DROP
iptables -I INPUT -s 61.41.0.0/16 -j DROP
iptables -I INPUT -s 61.42.0.0/16 -j DROP
iptables -I INPUT -s 61.43.0.0/16 -j DROP
iptables -I INPUT -s 222.240.0.0/16 -j DROP
iptables -I INPUT -s 203.189.0.0/16 -j DROP
iptables -I INPUT -s 211.101.34.0/24 -j DROP
iptables -I INPUT -s 220.90.217.0/24 -j DROP
iptables -I INPUT -s 61.163.0.0/16 -j DROP
iptables -I INPUT -s 203.128.0.0/16 -j DROP
iptables -I INPUT -s 202.202.0.0/16 -j DROP
iptables -I INPUT -s 219.94.128.0/17 -j DROP
iptables -I INPUT -s 221.236.0.0/15 -j DROP
iptables -I INPUT -s 193.239.64.0/24 -j DROP
iptables -I INPUT -s 210.12.0.0/14 -j DROP
iptables -I INPUT -s 211.170.0.0/16 -j DROP
iptables -I INPUT -s 194.242.233.0/24 -j DROP
iptables -I INPUT -s 59.108.0.0/16 -j DROP
iptables -I INPUT -s 202.45.0.0/16 -j DROP
iptables -I INPUT -s 77.249.197.0/24 -j DROP
iptables -I INPUT -s 211.236.180.0/25 -j DROP
iptables -I INPUT -s 211.60.155.0/24 -j DROP
iptables -I INPUT -s 218.9.0.0/16 -j DROP
iptables -I INPUT -s 131.173.161.0/24 -j DROP
iptables -I INPUT -s 82.196.86.2 -j DROP
iptables -I INPUT -s 218.210.0.0/15 -j DROP
iptables -I INPUT -s 61.164.68.128/29 -j DROP
iptables -I INPUT -s 65.36.177.0/24 -j DROP

Политика здесь такая: если атака идет из Китая/Кореи/Японии/Пакистана, блокируется весь диапазон адресов, принадлежащий атакующему (диапазон получается через whois). В зависимости от "тяжести" (метода сканирования, количества попыток, наглости и т.п.) диапазон может сужаться или расширяться (особенно, если организация — университет).

Надеюсь, кому-нибудь списочек пригодится…

Добавить в закладки
  • del.ici.ous
  • Digg
  • Furl
  • Google
  • Simpy
  • Spurl
  • Y! MyWeb
  • БобрДобр
  • Мистер Вонг
  • Яндекс.Закладки
  • Текст 2.0
  • News2
  • AddScoop
  • RuSpace
  • RUmarkz
  • Memori
  • Закладки Google
  • Писали
  • СМИ 2
  • Моё Место
  • Сто Закладок
  • Ваау!
  • Technorati
  • RuCity
  • LinkStore
  • NewsLand
  • Lopas
  • Закладки - I.UA
  • Connotea
  • Bibsonomy
  • Trucking Bookmarks
  • Communizm
  • UCA

Комментарии к статье "Список адресов, с которых осуществляются попытки вторжения в систему" (5) »

  1. [Май 5, 2008 10:52 пп] Vladimir:

    Добро пожаловать в чёрный список!

    [-]
    View Code Bash
    # Colombia
    iptables -I INPUT -s 200.21.103.0/24 -j DROP
    # Korea
    iptables -I INPUT -s 121.162.129.0/24 -j DROP
    # Spain
    iptables -I INPUT -s 62.97.91.0/24 -j DROP
    # Bulgaria
    iptables -I INPUT -s 195.34.105.108 -j DROP
    #1
  2. [Май 11, 2008 4:05 пп] Vladimir:
    [-]
    View Code Bash
    iptables -I INPUT -s 200.21.103.0/24 -j DROP
    iptables -I INPUT -s 121.162.129.0/24 -j DROP
    iptables -I INPUT -s 62.97.91.0/24 -j DROP
    iptables -I INPUT -s 195.34.105.108 -j DROP
    iptables -I INPUT -s 202.153.41.0/24 -j DROP
    iptables -I INPUT -s 83.140.145.226 -j DROP
    iptables -I INPUT -s 117.129.0.0/16 -j DROP
    iptables -I INPUT -s 58.242.148.0/24 -j DROP
    iptables -I INPUT -s 59.112.82.0/24 -j DROP
    iptables -I INPUT -s 89.44.142.24 -j DROP
    iptables -I INPUT -s 118.169.195.0/24 -j DROP
    iptables -I INPUT -s 218.16.119.0/24 -j DROP
    iptables -I INPUT -s 78.129.202.2 -j DROP
    iptables -I INPUT -s 218.249.0.0/16 -j DROP
    #2
  3. [Июнь 14, 2008 2:41 дп] Vladimir:

    SSH:

    116.125.113.115
    118.98.208.19
    125.64.96.82
    140.130.25.175
    166.122.235.108
    190.220.0.162
    193.108.246.97
    193.2.69.148
    194.206.242.35
    195.112.198.6
    195.114.0.91
    195.138.138.53
    195.149.74.127
    195.43.6.6
    200.111.90.186
    200.125.210.1
    200.217.178.198
    200.30.142.75
    200.41.239.166
    200.74.172.194
    201.6.116.177
    202.108.218.55
    202.125.40.115
    202.152.185.85
    202.194.232.47
    202.249.25.149
    202.71.136.87
    206.104.21.150
    208.53.157.31
    209.133.33.9
    210.22.124.2
    210.253.120.157
    210.94.213.243
    211.100.237.254
    211.115.213.141
    211.117.0.170
    211.144.96.190
    211.152.181.69
    211.154.172.158
    211.22.63.59
    211.90.191.87
    212.230.5.215
    213.171.198.20
    213.193.223.44
    213.195.94.213
    213.92.12.162
    217.197.155.226
    217.199.181.59
    218.103.50.249
    218.28.87.210
    218.30.71.75
    218.60.3.149
    218.65.86.64
    218.69.96.250
    218.7.13.215
    219.129.94.150
    219.138.207.34
    220.207.176.65
    221.131.3.12
    221.136.70.246
    38.112.183.140
    60.12.137.35
    61.128.122.13
    61.152.223.195
    61.177.143.205
    61.183.9.55
    61.4.191.61
    62.193.226.196
    62.75.204.68
    62.75.219.75
    65.111.176.7
    66.98.156.49
    67.220.134.34
    68.13.75.11
    75.135.156.238
    77.92.137.63
    79.113.101.96
    81.7.135.220
    82.174.96.217
    82.214.229.201
    83.175.206.153
    83.3.86.195
    84.14.155.101
    84.244.218.219
    85.17.103.17
    85.17.230.75
    85.43.61.93
    85.71.126.129
    87.117.219.26
    88.191.65.131
    89.200.170.108
    

    FTP:

    193.47.166.211
    218.83.175.129
    78.30.209.215
    

    Relaying:

    146.164.48.5
    218.45.239.250
    207.191.194.245
    218.45.239.250
    70.147.28.181
    
    #3
  4. [Июль 29, 2008 11:28 дп] Smash^Electro:
    [-]
    View Code XML
    <listitem>
        <variable name="Order">1</variable>
        <variable name="Enabled">1</variable>
        <variable name="Color">4</variable>
        <variable name="Name">Banned IP</variable>
        <variable name="Description"></variable>
        <variable name="Src">116.125.113.115</variable>
        <variable name="Src">118.98.208.19</variable>
        <variable name="Src">125.64.96.82</variable>
        <variable name="Src">140.130.25.175</variable>
        <variable name="Src">146.164.48.5</variable>
        <variable name="Src">166.122.235.108</variable>
        <variable name="Src">190.220.0.162</variable>
        <variable name="Src">193.108.246.97</variable>
        <variable name="Src">193.2.69.148</variable>
        <variable name="Src">193.47.166.211</variable>
        <variable name="Src">194.206.242.35</variable>
        <variable name="Src">195.112.198.6</variable>
        <variable name="Src">195.114.0.91</variable>
        <variable name="Src">195.138.138.53</variable>
        <variable name="Src">195.149.74.127</variable>
        <variable name="Src">195.43.6.6</variable>
        <variable name="Src">200.111.90.186</variable>
        <variable name="Src">200.125.210.1</variable>
        <variable name="Src">200.217.178.198</variable>
        <variable name="Src">200.30.142.75</variable>
        <variable name="Src">200.41.239.166</variable>
        <variable name="Src">200.74.172.194</variable>
        <variable name="Src">201.6.116.177</variable>
        <variable name="Src">202.108.218.55</variable>
        <variable name="Src">202.125.40.115</variable>
        <variable name="Src">202.152.185.85</variable>
        <variable name="Src">202.194.232.47</variable>
        <variable name="Src">202.249.25.149</variable>
        <variable name="Src">202.71.136.87</variable>
        <variable name="Src">206.104.21.150</variable>
        <variable name="Src">207.191.194.245</variable>
        <variable name="Src">208.53.157.31</variable>
        <variable name="Src">209.133.33.9</variable>
        <variable name="Src">210.22.124.2</variable>
        <variable name="Src">210.253.120.157</variable>
        <variable name="Src">210.94.213.243</variable>
        <variable name="Src">211.100.237.254</variable>
        <variable name="Src">211.115.213.141</variable>
        <variable name="Src">211.117.0.170</variable>
        <variable name="Src">211.144.96.190</variable>
        <variable name="Src">211.152.181.69</variable>
        <variable name="Src">211.154.172.158</variable>
        <variable name="Src">211.22.63.59</variable>
        <variable name="Src">211.90.191.87</variable>
        <variable name="Src">212.230.5.215</variable>
        <variable name="Src">213.171.198.20</variable>
        <variable name="Src">213.193.223.44</variable>
        <variable name="Src">213.195.94.213</variable>
        <variable name="Src">213.92.12.162</variable>
        <variable name="Src">217.197.155.226</variable>
        <variable name="Src">217.199.181.59</variable>
        <variable name="Src">218.103.50.249</variable>
        <variable name="Src">218.28.87.210</variable>
        <variable name="Src">218.30.71.75</variable>
        <variable name="Src">218.45.239.250</variable>
        <variable name="Src">218.60.3.149</variable>
        <variable name="Src">218.65.86.64</variable>
        <variable name="Src">218.69.96.250</variable>
        <variable name="Src">218.7.13.215</variable>
        <variable name="Src">218.83.175.129</variable>
        <variable name="Src">219.129.94.150</variable>
        <variable name="Src">219.138.207.34</variable>
        <variable name="Src">220.207.176.65</variable>
        <variable name="Src">221.131.3.12</variable>
        <variable name="Src">221.136.70.246</variable>
        <variable name="Src">38.112.183.140</variable>
        <variable name="Src">60.12.137.35</variable>
        <variable name="Src">61.128.122.13</variable>
        <variable name="Src">61.152.223.195</variable>
        <variable name="Src">61.177.143.205</variable>
        <variable name="Src">61.183.9.55</variable>
        <variable name="Src">61.4.191.61</variable>
        <variable name="Src">62.193.226.196</variable>
        <variable name="Src">62.75.204.68</variable>
        <variable name="Src">62.75.219.75</variable>
        <variable name="Src">65.111.176.7</variable>
        <variable name="Src">66.98.156.49</variable>
        <variable name="Src">67.220.134.34</variable>
        <variable name="Src">68.13.75.11</variable>
        <variable name="Src">70.147.28.181</variable>
        <variable name="Src">75.135.156.238</variable>
        <variable name="Src">77.92.137.63</variable>
        <variable name="Src">78.30.209.215</variable>
        <variable name="Src">79.113.101.96</variable>
        <variable name="Src">81.7.135.220</variable>
        <variable name="Src">82.174.96.217</variable>
        <variable name="Src">82.214.229.201</variable>
        <variable name="Src">83.175.206.153</variable>
        <variable name="Src">83.3.86.195</variable>
        <variable name="Src">84.14.155.101</variable>
        <variable name="Src">84.244.218.219</variable>
        <variable name="Src">85.17.103.17</variable>
        <variable name="Src">85.17.230.75</variable>
        <variable name="Src">85.43.61.93</variable>
        <variable name="Src">85.71.126.129</variable>
        <variable name="Src">87.117.219.26</variable>
        <variable name="Src">88.191.65.131</variable>
        <variable name="Src">89.200.170.108</variable>
        <variable name="Proxy"></variable>
        <variable name="Service"></variable>
        <variable name="ValidTime"></variable>
        <variable name="Action">drop,logpkt</variable>
        <variable name="SNAT"></variable>
        <variable name="DNAT"></variable>
    </listitem>
    #4
  5. [Июль 29, 2008 11:42 дп] Vladimir:

    Я подредактировал чуть-чуть… Посмотрите, пожалуйста, правильно?

    PS - при желании можно просто прикепить файл к сообщению.

    #5

RSS лента комментариев к этой записи. TrackBack URL

Оставить комментарий к записи "Список адресов, с которых осуществляются попытки вторжения в систему"

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя