Was ist www.BlockList.de?
Bei www.blocklist.de handelt es sich um einen freien und freiwilligen Service von Abuse-Spezialisten, welche eine große Anzahl an SSH-, Mail-, FTP-, Webserver-Attacken und andere auf ihren Servern erhalten bzw. ausgesetzt sind.
Zu unseren Aufgaben gehört es, die entsprechenden Abuse-Abteilungen der infizierten PCs bzw. Servern zeitnah eine Information zukommen zu lassen, sodass schnellstmöglich eine Überprüfung der Infizierten Systeme durchgeführt werden kann.
Es werden ca. 70000 Angriffe in 12 Stunden in Echtzeit reportet, was jedoch von den Sicherheitslücken pro Tag abhängig ist. Wir verwenden zum finden der Abuse-Adressen die Whois-Daten (abuse-mailbox, abuse@, security@, email), den Ripe-Abuse-Finder und die Datenbank von abusix.com. Unsere Mitteilungen basieren auf dem X-Arf-Format (Network Abuse Reporting 2.0), damit die zuständigen Provider unsere Meldungen automatisiert und einfach verarbeiten können.
blocklist ist vergleichbar mit spamcop.net für Angriffe jeglicher Art ausser für Spam.
Dazu nutzen wir die Whitelist von www.dnswl.org, www.spamhauswhitelist.org und die Blacklist von torproject.org um false-positives zu vermeiden.
Dazu können User für eigene Server/IPs eine Whitelist pflegen, die auf eigene Reports angewendet wird und somit das Reporting für eigene Server verhindert.
Jeden Tag kommen weitere Server/Partner (aktuell über 6730 User) dazu, welche uns Reports zukommen lassen, damit diese anonymisiert und automatisch an die Provider der Angreifer versendet werden können. Sofern Sie auch Ihre Angriffe über uns Reporten möchten, können Sie sich unter Registrierung anmelden.
In unseren Statistiken können Sie die Top-Länder mit den meisten angreifenden IP-Adressen oder die Provider mit den meisten Angreifern einsehen.
Des Weiteren können Sie auch unsere Datenbank duchsuchen und prüfen, ob eine IP-Adresse bereits aufgefallen ist oder ob IPs von Ihrem Netzwerk geblockt wurden.
Die Suche können Sie im Menü mittels dem Punkt "Suche (IP, ASN)" nutzen.
Ebenfalls besteht die Möglichkeit, dass Sie auch z.B für eine IP-Adresse die Reports bis zu 7 Tage lang aussetzen lassen, insofern Sie einen längeren Zeitraum für die Bereinigung benötigen.
Wir hoffen mit dem angebotenen Dienst eine Optimierung zu schaffen, in dem die infizierten PCs bzw. Server schneller erkannt und deaktiviert werden können.
Hinweis: BlockList.de selbst blockiert keine E-Mails oder Zugriffe. Dies konfigurieren die Administratoren des Servers, welcher der die Verbindung aufgrund eines Eintrags in blocklist.de abgelehnt hat.
Aktuell können folgende Fail2Ban-/DenyHost-Attacken/Dienste reportet werden:
komplette Liste der Dienstnamen
Zu unseren Aufgaben gehört es, die entsprechenden Abuse-Abteilungen der infizierten PCs bzw. Servern zeitnah eine Information zukommen zu lassen, sodass schnellstmöglich eine Überprüfung der Infizierten Systeme durchgeführt werden kann.
Es werden ca. 70000 Angriffe in 12 Stunden in Echtzeit reportet, was jedoch von den Sicherheitslücken pro Tag abhängig ist. Wir verwenden zum finden der Abuse-Adressen die Whois-Daten (abuse-mailbox, abuse@, security@, email), den Ripe-Abuse-Finder und die Datenbank von abusix.com. Unsere Mitteilungen basieren auf dem X-Arf-Format (Network Abuse Reporting 2.0), damit die zuständigen Provider unsere Meldungen automatisiert und einfach verarbeiten können.
blocklist ist vergleichbar mit spamcop.net für Angriffe jeglicher Art ausser für Spam.
Dazu nutzen wir die Whitelist von www.dnswl.org, www.spamhauswhitelist.org und die Blacklist von torproject.org um false-positives zu vermeiden.
Dazu können User für eigene Server/IPs eine Whitelist pflegen, die auf eigene Reports angewendet wird und somit das Reporting für eigene Server verhindert.
Jeden Tag kommen weitere Server/Partner (aktuell über 6730 User) dazu, welche uns Reports zukommen lassen, damit diese anonymisiert und automatisch an die Provider der Angreifer versendet werden können. Sofern Sie auch Ihre Angriffe über uns Reporten möchten, können Sie sich unter Registrierung anmelden.
In unseren Statistiken können Sie die Top-Länder mit den meisten angreifenden IP-Adressen oder die Provider mit den meisten Angreifern einsehen.
Des Weiteren können Sie auch unsere Datenbank duchsuchen und prüfen, ob eine IP-Adresse bereits aufgefallen ist oder ob IPs von Ihrem Netzwerk geblockt wurden.
Die Suche können Sie im Menü mittels dem Punkt "Suche (IP, ASN)" nutzen.
Ebenfalls besteht die Möglichkeit, dass Sie auch z.B für eine IP-Adresse die Reports bis zu 7 Tage lang aussetzen lassen, insofern Sie einen längeren Zeitraum für die Bereinigung benötigen.
Wir hoffen mit dem angebotenen Dienst eine Optimierung zu schaffen, in dem die infizierten PCs bzw. Server schneller erkannt und deaktiviert werden können.
Hinweis: BlockList.de selbst blockiert keine E-Mails oder Zugriffe. Dies konfigurieren die Administratoren des Servers, welcher der die Verbindung aufgrund eines Eintrags in blocklist.de abgelehnt hat.
Aktuell können folgende Fail2Ban-/DenyHost-Attacken/Dienste reportet werden:
komplette Liste der Dienstnamen
- ssh* || ssh-ddos
- postfix || mail || exim || exim4
- amavis
- proftpd || ftp* || pure-ftpd || pureftpd
- courierpop3 || pop || pop3 || dovecot-pop3
- courierimap || imap || dovecot || dovecot-pop3imap || dovecot-smtp || dovecot-*
- sasl
- BadBots || irc-bot || irc-bots || reg-bots || reg-bot
- php-url-fopen || rfi-attack (wie in filter.d/apache-spamtrap-rfi.conf) || shellshock
- w00tw00t || apache-w00tw00t Deaktiviert wegen majestic12 Bot
- ApacheDDOS || DDoS
- Asterisk || sip || voip
- SQL-Injection
- webmin || plesk -> brute-force-logins (bitte maxentry auf 5 und höher stellen)