Ars Longa, Vita Brevis

« Forward Confirmed reverse DNS, или, Зомби не пройдут
Наш ответ libresolv »
Май 5, 2008

Список адресов, с которых осуществляются попытки вторжения в систему

Рубрика: Linux, Администрирование, Безопасность
Метки: , , , ,
Vladimir @ 1:19 пп
RSS 2.0

Список взломщиков, полученный на основе анализа журнала безопасности

Анализируя журнал безопасности системы, я добавляю в iptables правила, блокирующие доступ с адресов, с которых замечены попытки вторжения. В большинстве случаев в черный список попадают товарищи, пытающиеся залезть в систему по SSH; иногда я добавляю злостных хакеров, пытающихся устроить DoS или проводящих SQL injection/сканирование на наличие уязвимостей (поиск таких вот товарищей приходится осуществлять вручную, ибо их методы очень различны, и автоматический анализатор, дающий хотя бы 85% гарантию обнаружения, я пока еще не написал).

В надежде, что этот список (оформленный в виде правил для iptables) окажется кому-нибудь полезным (он будет периодически обновляться), выкладываю его в общее пользование.

[-]
View Code Bash
iptables -I INPUT -s 88.191.0.0/16 -j DROP
iptables -I INPUT -s 195.146.32.0/24 -j DROP
iptables -I INPUT -s 211.20.47.0/24 -j DROP
iptables -I INPUT -s 61.32.0.0/16 -j DROP
iptables -I INPUT -s 61.33.0.0/16 -j DROP
iptables -I INPUT -s 61.34.0.0/16 -j DROP
iptables -I INPUT -s 61.35.0.0/16 -j DROP
iptables -I INPUT -s 61.36.0.0/16 -j DROP
iptables -I INPUT -s 61.37.0.0/16 -j DROP
iptables -I INPUT -s 61.38.0.0/16 -j DROP
iptables -I INPUT -s 61.39.0.0/16 -j DROP
iptables -I INPUT -s 61.40.0.0/16 -j DROP
iptables -I INPUT -s 61.41.0.0/16 -j DROP
iptables -I INPUT -s 61.42.0.0/16 -j DROP
iptables -I INPUT -s 61.43.0.0/16 -j DROP
iptables -I INPUT -s 222.240.0.0/16 -j DROP
iptables -I INPUT -s 203.189.0.0/16 -j DROP
iptables -I INPUT -s 211.101.34.0/24 -j DROP
iptables -I INPUT -s 220.90.217.0/24 -j DROP
iptables -I INPUT -s 61.163.0.0/16 -j DROP
iptables -I INPUT -s 203.128.0.0/16 -j DROP
iptables -I INPUT -s 202.202.0.0/16 -j DROP
iptables -I INPUT -s 219.94.128.0/17 -j DROP
iptables -I INPUT -s 221.236.0.0/15 -j DROP
iptables -I INPUT -s 193.239.64.0/24 -j DROP
iptables -I INPUT -s 210.12.0.0/14 -j DROP
iptables -I INPUT -s 211.170.0.0/16 -j DROP
iptables -I INPUT -s 194.242.233.0/24 -j DROP
iptables -I INPUT -s 59.108.0.0/16 -j DROP
iptables -I INPUT -s 202.45.0.0/16 -j DROP
iptables -I INPUT -s 77.249.197.0/24 -j DROP
iptables -I INPUT -s 211.236.180.0/25 -j DROP
iptables -I INPUT -s 211.60.155.0/24 -j DROP
iptables -I INPUT -s 218.9.0.0/16 -j DROP
iptables -I INPUT -s 131.173.161.0/24 -j DROP
iptables -I INPUT -s 82.196.86.2 -j DROP
iptables -I INPUT -s 218.210.0.0/15 -j DROP
iptables -I INPUT -s 61.164.68.128/29 -j DROP
iptables -I INPUT -s 65.36.177.0/24 -j DROP

Политика здесь такая: если атака идет из Китая/Кореи/Японии/Пакистана, блокируется весь диапазон адресов, принадлежащий атакующему (диапазон получается через whois). В зависимости от "тяжести" (метода сканирования, количества попыток, наглости и т.п.) диапазон может сужаться или расширяться (особенно, если организация — университет).

Надеюсь, кому-нибудь списочек пригодится…

Добавить в закладки

Комментарии к статье "Список адресов, с которых осуществляются попытки вторжения в систему" (5) »

  1. [Май 5, 2008 10:52 пп] Vladimir:

    Добро пожаловать в чёрный список!

    [-]
    View Code Bash
    # Colombia
    iptables -I INPUT -s 200.21.103.0/24 -j DROP
    # Korea
    iptables -I INPUT -s 121.162.129.0/24 -j DROP
    # Spain
    iptables -I INPUT -s 62.97.91.0/24 -j DROP
    # Bulgaria
    iptables -I INPUT -s 195.34.105.108 -j DROP
    #1
  2. [Май 11, 2008 4:05 пп] Vladimir:
    [-]
    View Code Bash
    iptables -I INPUT -s 200.21.103.0/24 -j DROP
    iptables -I INPUT -s 121.162.129.0/24 -j DROP
    iptables -I INPUT -s 62.97.91.0/24 -j DROP
    iptables -I INPUT -s 195.34.105.108 -j DROP
    iptables -I INPUT -s 202.153.41.0/24 -j DROP
    iptables -I INPUT -s 83.140.145.226 -j DROP
    iptables -I INPUT -s 117.129.0.0/16 -j DROP
    iptables -I INPUT -s 58.242.148.0/24 -j DROP
    iptables -I INPUT -s 59.112.82.0/24 -j DROP
    iptables -I INPUT -s 89.44.142.24 -j DROP
    iptables -I INPUT -s 118.169.195.0/24 -j DROP
    iptables -I INPUT -s 218.16.119.0/24 -j DROP
    iptables -I INPUT -s 78.129.202.2 -j DROP
    iptables -I INPUT -s 218.249.0.0/16 -j DROP
    #2
  3. [Июнь 14, 2008 2:41 дп] Vladimir:

    SSH:

    116.125.113.115
118.98.208.19
125.64.96.82
140.130.25.175
166.122.235.108
190.220.0.162
193.108.246.97
193.2.69.148
194.206.242.35
195.112.198.6
195.114.0.91
195.138.138.53
195.149.74.127
195.43.6.6
200.111.90.186
200.125.210.1
200.217.178.198
200.30.142.75
200.41.239.166
200.74.172.194
201.6.116.177
202.108.218.55
202.125.40.115
202.152.185.85
202.194.232.47
202.249.25.149
202.71.136.87
206.104.21.150
208.53.157.31
209.133.33.9
210.22.124.2
210.253.120.157
210.94.213.243
211.100.237.254
211.115.213.141
211.117.0.170
211.144.96.190
211.152.181.69
211.154.172.158
211.22.63.59
211.90.191.87
212.230.5.215
213.171.198.20
213.193.223.44
213.195.94.213
213.92.12.162
217.197.155.226
217.199.181.59
218.103.50.249
218.28.87.210
218.30.71.75
218.60.3.149
218.65.86.64
218.69.96.250
218.7.13.215
219.129.94.150
219.138.207.34
220.207.176.65
221.131.3.12
221.136.70.246
38.112.183.140
60.12.137.35
61.128.122.13
61.152.223.195
61.177.143.205
61.183.9.55
61.4.191.61
62.193.226.196
62.75.204.68
62.75.219.75
65.111.176.7
66.98.156.49
67.220.134.34
68.13.75.11
75.135.156.238
77.92.137.63
79.113.101.96
81.7.135.220
82.174.96.217
82.214.229.201
83.175.206.153
83.3.86.195
84.14.155.101
84.244.218.219
85.17.103.17
85.17.230.75
85.43.61.93
85.71.126.129
87.117.219.26
88.191.65.131
89.200.170.108

    FTP:

    193.47.166.211
218.83.175.129
78.30.209.215

    Relaying:

    146.164.48.5
218.45.239.250
207.191.194.245
218.45.239.250
70.147.28.181
    #3
  4. [Июль 29, 2008 11:28 дп] Smash^Electro:
    [-]
    View Code XML
    <listitem>
        <variable name="Order">1</variable>
        <variable name="Enabled">1</variable>
        <variable name="Color">4</variable>
        <variable name="Name">Banned IP</variable>
        <variable name="Description"></variable>
        <variable name="Src">116.125.113.115</variable>
        <variable name="Src">118.98.208.19</variable>
        <variable name="Src">125.64.96.82</variable>
        <variable name="Src">140.130.25.175</variable>
        <variable name="Src">146.164.48.5</variable>
        <variable name="Src">166.122.235.108</variable>
        <variable name="Src">190.220.0.162</variable>
        <variable name="Src">193.108.246.97</variable>
        <variable name="Src">193.2.69.148</variable>
        <variable name="Src">193.47.166.211</variable>
        <variable name="Src">194.206.242.35</variable>
        <variable name="Src">195.112.198.6</variable>
        <variable name="Src">195.114.0.91</variable>
        <variable name="Src">195.138.138.53</variable>
        <variable name="Src">195.149.74.127</variable>
        <variable name="Src">195.43.6.6</variable>
        <variable name="Src">200.111.90.186</variable>
        <variable name="Src">200.125.210.1</variable>
        <variable name="Src">200.217.178.198</variable>
        <variable name="Src">200.30.142.75</variable>
        <variable name="Src">200.41.239.166</variable>
        <variable name="Src">200.74.172.194</variable>
        <variable name="Src">201.6.116.177</variable>
        <variable name="Src">202.108.218.55</variable>
        <variable name="Src">202.125.40.115</variable>
        <variable name="Src">202.152.185.85</variable>
        <variable name="Src">202.194.232.47</variable>
        <variable name="Src">202.249.25.149</variable>
        <variable name="Src">202.71.136.87</variable>
        <variable name="Src">206.104.21.150</variable>
        <variable name="Src">207.191.194.245</variable>
        <variable name="Src">208.53.157.31</variable>
        <variable name="Src">209.133.33.9</variable>
        <variable name="Src">210.22.124.2</variable>
        <variable name="Src">210.253.120.157</variable>
        <variable name="Src">210.94.213.243</variable>
        <variable name="Src">211.100.237.254</variable>
        <variable name="Src">211.115.213.141</variable>
        <variable name="Src">211.117.0.170</variable>
        <variable name="Src">211.144.96.190</variable>
        <variable name="Src">211.152.181.69</variable>
        <variable name="Src">211.154.172.158</variable>
        <variable name="Src">211.22.63.59</variable>
        <variable name="Src">211.90.191.87</variable>
        <variable name="Src">212.230.5.215</variable>
        <variable name="Src">213.171.198.20</variable>
        <variable name="Src">213.193.223.44</variable>
        <variable name="Src">213.195.94.213</variable>
        <variable name="Src">213.92.12.162</variable>
        <variable name="Src">217.197.155.226</variable>
        <variable name="Src">217.199.181.59</variable>
        <variable name="Src">218.103.50.249</variable>
        <variable name="Src">218.28.87.210</variable>
        <variable name="Src">218.30.71.75</variable>
        <variable name="Src">218.45.239.250</variable>
        <variable name="Src">218.60.3.149</variable>
        <variable name="Src">218.65.86.64</variable>
        <variable name="Src">218.69.96.250</variable>
        <variable name="Src">218.7.13.215</variable>
        <variable name="Src">218.83.175.129</variable>
        <variable name="Src">219.129.94.150</variable>
        <variable name="Src">219.138.207.34</variable>
        <variable name="Src">220.207.176.65</variable>
        <variable name="Src">221.131.3.12</variable>
        <variable name="Src">221.136.70.246</variable>
        <variable name="Src">38.112.183.140</variable>
        <variable name="Src">60.12.137.35</variable>
        <variable name="Src">61.128.122.13</variable>
        <variable name="Src">61.152.223.195</variable>
        <variable name="Src">61.177.143.205</variable>
        <variable name="Src">61.183.9.55</variable>
        <variable name="Src">61.4.191.61</variable>
        <variable name="Src">62.193.226.196</variable>
        <variable name="Src">62.75.204.68</variable>
        <variable name="Src">62.75.219.75</variable>
        <variable name="Src">65.111.176.7</variable>
        <variable name="Src">66.98.156.49</variable>
        <variable name="Src">67.220.134.34</variable>
        <variable name="Src">68.13.75.11</variable>
        <variable name="Src">70.147.28.181</variable>
        <variable name="Src">75.135.156.238</variable>
        <variable name="Src">77.92.137.63</variable>
        <variable name="Src">78.30.209.215</variable>
        <variable name="Src">79.113.101.96</variable>
        <variable name="Src">81.7.135.220</variable>
        <variable name="Src">82.174.96.217</variable>
        <variable name="Src">82.214.229.201</variable>
        <variable name="Src">83.175.206.153</variable>
        <variable name="Src">83.3.86.195</variable>
        <variable name="Src">84.14.155.101</variable>
        <variable name="Src">84.244.218.219</variable>
        <variable name="Src">85.17.103.17</variable>
        <variable name="Src">85.17.230.75</variable>
        <variable name="Src">85.43.61.93</variable>
        <variable name="Src">85.71.126.129</variable>
        <variable name="Src">87.117.219.26</variable>
        <variable name="Src">88.191.65.131</variable>
        <variable name="Src">89.200.170.108</variable>
        <variable name="Proxy"></variable>
        <variable name="Service"></variable>
        <variable name="ValidTime"></variable>
        <variable name="Action">drop,logpkt</variable>
        <variable name="SNAT"></variable>
        <variable name="DNAT"></variable>
    </listitem>
    #4
  5. [Июль 29, 2008 11:42 дп] Vladimir:

    Я подредактировал чуть-чуть… Посмотрите, пожалуйста, правильно?

    PS - при желании можно просто прикепить файл к сообщению.

    #5

RSS лента комментариев к этой записи. TrackBack URL

Оставить комментарий к записи "Список адресов, с которых осуществляются попытки вторжения в систему"

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя


« Forward Confirmed reverse DNS, или, Зомби не пройдут
Наш ответ libresolv »