Bonjour,
Existe-t-il un équivalent communautaire des RBL ou DNSBL pour le web ?
En d'autres termes, lorsqu'une information est demandée sur serveur web, l'adresse IP, le referrer et le user agent sont transmis (ou usurpés); y a-t-il un moyen de savoir si le referrer est un serveur hacké et surtout si l'IP appartient à un serveur hacké (idée de réputation à la Cisco)?
On peut se baser sur les RBL car un serveur emettant du SPAM a de forte chance d'être corrompu mais cela me semble léger ?
Merci à tous
JC PAROLA
Bonjour,
Une sorte de RBL utilisant la base de donnée de "Project Honey Pot" ... Il y a l'application IP Reputation venant de Splunk Community qui justement l'utilise.
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
Bonne journée
Florent
Y'a http://www.mywot.com/ et https://www.stopbadware.org/ Sinon il doit bien avoir des bases, parce que c'est le genre de truc très commun dans les solutions de sécurité corporate (Symantec, Trendmicro, etc), mais elle ne sont sans doute pas publiques.
-- Benjamin
Le 12 juin 2013 16:40, JC PAROLA contact@sels-ingenierie.com a écrit :
Le 12/06/2013 16:29, Florent CARRÉ a écrit :
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
J'en profite pour placer une question, je n'ai pas trouvé d'accès API ou autre pour Project Honey Pot, il y a moyen d'interroger ou récupérer une liste quelque part?
Bonsoir,
Dans la partie Services, on peut y voir quelques informations : https://www.projecthoneypot.org/services_overview.php
Les implémentations existantes : https://www.projecthoneypot.org/httpbl_implementations.php
Ensuite pour l'API :
* Http:API Specification : https://www.projecthoneypot.org/httpbl_api.php * Message Board http:BL Use/Development : http://www.projecthoneypot.org/board/list.php?f=10
Bonne soirée
Florent
Le 12/06/2013 16:24, JC PAROLA a écrit :
Bonjour,
Bonjour
As-tu pensé aux listes fournies pour les IDS? Par exemple les listes d'emerging threats : http://rules.emergingthreats.net/fwrules/
Merci à tous
JC PAROLA
Gaëtan
Bonsoir,
Honte à moi d'avoir oublier le plus simple ... Pour les personnes qui veulent la liste IP de http://rules.emergingthreats.net/fwrules/ en fichiers textes spécifiques (compromised, rbn et rbn-malvertisers), il faut aller à l'url pour Suricata IDS : http://rules.emergingthreats.net/blockrules/
Bonne soirée
Florent
Le 12/06/2013 21:01, Gaetan Duchaussois a écrit :
As-tu pensé aux listes fournies pour les IDS? Par exemple les listes d'emerging threats : http://rules.emergingthreats.net/fwrules/
Je viens également de trouver http://www.malwaredomainlist.com/forums/index.php?topic=3270.0 http://www.malwaredomainlist.com
La liste des IP et les update sont téléchargeables au format CSV
C'est apparemment bien suivi, dans l'update d'hier 10 IP ont été ajoutées.
Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com.
Le 13/06/2013 10:09, JC PAROLA a écrit :
Je viens de faire une petite (vraiment petite) comparaison entre :
*projecthoneypot*.org malwaredomainlist.com http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules
Je ne sais pas combien contient de règles *projecthoneypot*.org, mais emergingthreats.net en contient 20 000 et malwaredomainlist.com 86 000.
Les dernières IP présentes dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules, n'ont pas été trouvées dans *projecthoneypot*.org.
en revanche, les IP présente dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules concordent avec celle de *projecthoneypot*.org.
Il semble donc que *projecthoneypot*.org et malwaredomainlist.com soient en cohérence entre elle. D'autant plus que 86 000 IP blacklistées semble un chiffre plus "vraissemblable" que 20 000.
JC PAROLA
Bonsoir à tous,
Désolé d'upper le thread, mais le sujet m’intéresse bigrement !
Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise.
Un mix des différentes autres aussi ?
J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod .
Qu'en pensez vous ?
@+ Christophe.
JC PAROLA a écrit :
Bonjour
Ce que tu dis ressemble à ce que propose portsentry un(e) IDS qui alerte ou bloque selon la configuration les ip cherchant à se connecter à trop de ports à la suite.
Si on couple ceci sur un rsylog tu devrais pouvoir mutualiser les différentes remontées sur le firewall d'entrée.
Km
Le 30/06/2013 23:37, Christophe a écrit :
Bonjour,
J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui tentaient des attaques sur mes serveurs et celles présentes dans projecthoneypot.
Je te confirme que projecthoneypot est de loin la plus à jour par rapport aux autres mes la correspondance n'est systematique loin de là.
Pour ma part, je ne m'en sert pas en Prod.
De plus, il me semble que cela rassemble plus les serveurs hackés (trojan, ...) que des serveurs qui mènent des attaques sur d'autres serveurs. Même si l'un ne va pas sans l'autre, la liste de projecthoneypot n'est pas suffisamment fiable.
Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS et injections SQL sont bien répérées et bloquées.
Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me faire mes propres règles de blackliste. de plus, dans un environnement mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer l'IP et protéger ainsi tous les autres.
Le point interessant est que tu maitrise tout de bout en bout. Si tu est sûr de toi, tu blacklistes les IP pendant 8/24/36/48h.... sinon tu blackistes sur des plus petites durées. en cas de faux positifs ça fait moins mal :-)