Wie ihr bestimmt wisst betreibe ich die abuse.ch HTTP abuser list.
Ãœber die Ostern habe ich nun diese liste umgestaltet und (abgesehen vom neuen Design) einige Erneuerungen eingebracht.
Seit dem Start der abuse.ch HTTP abuser list (siehe Post vom 4 Februar 2008) ist einige Zeit vergangen und vieles hat sich geändert:
Einerseits wurde die Webseite komplett überarbeitet und erscheint in einem neuen gewand: www.abuse.ch/http-honeypot und andererseits wurde die Blacklist in 2 Zonen (respektive listen) unterteilt:
abuse.ch HTTP-Honeypot list
An dieser Blacklist hat sich grundsätzlich nicht viel geändert: Hier werden IP-Adressen aufgelistet, welche in einer meiner Honeypots getappt sind. Diese Honeypots emulieren so genannte PHP Shells wie z.B. die r57Shell oder C99Shell. Diese PHPShells geben einem Angreifer die Möglichkeit, den Webcontent auf eurem Webserver zu verändern (defacen) oder zusätzliche Schadens-Software zu installiere (z.B. ShellBots).
Link: www.abuse.ch/http-honeypot/abusers.php
abuse.ch injection list
Diese Blacklist wurde von der abuse.ch HTTP-Honeypot list abgespalten und wird nun eigenständig betrieben. Wie in meinem Post PHPShells, Shellbots und andere mystische Gestalten beschrieben, werden hier IP-Adressen geblacklisted welche versuchen verwundbare PHP-Scripts auf meinem Webserver auszunutzen um beliebigen Code ein zu schmuggeln (engl. Injection).
Link: www.abuse.ch/http-honeypot/injections.php
Weitere Erneuerungen sind:
… ein FAQ wo ihr mehr Informationen über die beiden Blacklist findet
… eine Statistik über die Blacklists
… sowie eine Suchfunktion
Falls ihr irgendwelche Fragen habt schaut in den FAQ, hinterlässt ein Comment oder schreibt mir eine email.
