Tag Archive for 'abuse.ch HTTP abuser list'

Ãœberarbeitete abuse.ch HTTP abuser list

Published on March 23, 2008 in Uncategorized. 1 Comment Tags: , , , , .

Wie ihr bestimmt wisst betreibe ich die abuse.ch HTTP abuser list.
Ãœber die Ostern habe ich nun diese liste umgestaltet und (abgesehen vom neuen Design) einige Erneuerungen eingebracht.

Seit dem Start der abuse.ch HTTP abuser list (siehe Post vom 4 Februar 2008) ist einige Zeit vergangen und vieles hat sich geändert:

Einerseits wurde die Webseite komplett überarbeitet und erscheint in einem neuen gewand: www.abuse.ch/http-honeypot und andererseits wurde die Blacklist in 2 Zonen (respektive listen) unterteilt:

abuse.ch HTTP-Honeypot list

An dieser Blacklist hat sich grundsätzlich nicht viel geändert: Hier werden IP-Adressen aufgelistet, welche in einer meiner Honeypots getappt sind. Diese Honeypots emulieren so genannte PHP Shells wie z.B. die r57Shell oder C99Shell. Diese PHPShells geben einem Angreifer die Möglichkeit, den Webcontent auf eurem Webserver zu verändern (defacen) oder zusätzliche Schadens-Software zu installiere (z.B. ShellBots).

Link: www.abuse.ch/http-honeypot/abusers.php

abuse.ch injection list

Diese Blacklist wurde von der abuse.ch HTTP-Honeypot list abgespalten und wird nun eigenständig betrieben. Wie in meinem Post PHPShells, Shellbots und andere mystische Gestalten beschrieben, werden hier IP-Adressen geblacklisted welche versuchen verwundbare PHP-Scripts auf meinem Webserver auszunutzen um beliebigen Code ein zu schmuggeln (engl. Injection).

Link: www.abuse.ch/http-honeypot/injections.php

Weitere Erneuerungen sind:

… ein FAQ wo ihr mehr Informationen über die beiden Blacklist findet
… eine Statistik über die Blacklists
… sowie eine Suchfunktion

Falls ihr irgendwelche Fragen habt schaut in den FAQ, hinterlässt ein Comment oder schreibt mir eine email.

HTTP abuser list

Published on February 4, 2008 in Monitoring & Reporting. 3 Comments Tags: , .

UPDATE
Dieser Artikel ist veraltet. Die abuse.ch HTTP abuser list wurde in eine DNSBL umgewandelt. Siehe “Neue Blacklist: httpbl.abuse.ch

Vor kurzem habe ich aus Neugier einige Honeypots auf meiner Webseite installiert. Die Honeypots emulieren z.B. eine C99Shell oder ein nicht-passwort geschützter phpmyadmin Bereich. Schon nach kurzer Zeit hatte regen Besuch von ca. 5 “Besucher” (eine bessere Bezeichnung währe wohl “Script Kiddies”) pro Tag.

Das Ergebnis meiner Neugierde ist die abuse.ch HTTP abuser list. Wenn ein Script Kiddie oder ein Möchtegern Hacker auf einer meiner Honeypot stösst, wird automatisch ein Eintrag in der abuse.ch HTTP abuser list generiert. Die aktuelle Liste kann unter www.abuse.ch/http-honeypot/abusers.php eingesehen werden.

Für diejenigen Webmaster unter euch, welche nun präventiv den Zugriff von diesen IP-Adressen blocken möchten, gibt es folgende Möglichkeiten;

IP-Adressen Ban via .htaccess Datei auf Webserver
Die einfachste Methode ist, den Zugriff via einer .htaccess Datei zu blockieren. Unter www.abuse.ch/http-honeypot/abusers.txt ist eine vorgefertigte .htaccess Datei zu finden. Ihr k̦nnt einfach den Inhalt der Datei in euer .htaccess-file kopieren und der Zugriff von den aufgelisteten IP-Adressen wird mit dem HTTP-Fehlercode 403 РForbidden verhindert.

IP-Adressen Ban für WordPress Benutzer
Die zweite Möglichkeit ist, die IP-Adressen mittels dem WP Ban Plugins für WordPress (download zu blockieren. Der Zugriff kann einfach gesperrt werden, indem die IP-Adressen in der Datei www.abuse.ch/http-honeypot/abusers.wp.txt in das WP Ban Plugin importiert werden.

Die beiden Text Dateien abusers.txt und abusers.wp.txt werden einmal Täglich aktualisiert. Ich empfehle euch, regelmässig die aktuellste Blocklist zu ziehen.
economics-recluse
Scene
Urgent!