Geblockte IP-Adressen: 17212
nützliche Links
- www.fail2ban.org
- Beispiel Konfiguration Debian 5
- Beispiel Konfiguration Debian 6
- The Global Reporting Project
- Beispiel-Report (postfix)
- Beispiel-Report (ssh, again)
- stopforumspam.com
N e w s:
25.02.2012 Es war bei der Prüfung wie alt eine Attack sein darf eine Null zu viel, daher wurden einige sehr alte Attacken verarbeitet. Sorry Abuse-Teams. Ist bereits auf 3 Tage korrigiert.27.01.2012
X-ARF-Validator gefixt und online gestellt
05.11.2011
Der Spamer registriert sich bei anderen Foren und Blogs mit @blocklist.de. Diese User/Comments sind nicht von blocklist! Bitte erstatten Sie Straf-Anzeige gegen die IP, die den Eintrag erstellt hat!
04.08.2010
Die Listen von Blocklist.de werden nun auch durch www.ipvoid.com verwendet.
PC infiziert / langsam?
API/DNS von blocklist.de.
blocklist.de per DNS abfragen
Nur die neusten IP-Adressen abrufen
Die API kann aktuell nur Attacken und Reports pro Server, User oder IP-Adresse ausgeben.
Der Aufruf ist darum auch noch nicht sehr geschützt.
Allgemein ist der Aufruf immer über:
https://api.blocklist.de/api.php?
Folgende Parameter sind Pflicht (server oder email oder ip; mindestens einer):
| server | ID des abzufragenden Server (int) |
| E-Mailadresse des Users (string) | |
| ip | IP-Adresse zum abrufen der Angriffe (string) |
| apikey | Der API-Key vom Server oder User (string) |
Optionale Parameter:
| start | Startzeit als Unix-Timestamp (int), wenn die Zahl 1 übergeben wird, wird von dem ersten Zeitpunkt gesucht (dauert) |
| ende | Endzeit als Unix-Timestamp (int), bis wohin gesucht werden soll |
| format | Format der Ausgabe: text (default, 2 Zeilen), php (serialized), xml (xml-file), json (json-codiert) |
Sollte z.B. kein start übergeben werden, so wird die aktuelle Zeit minus 24 Stunden als Zeitraum gewählt.
Beispiele:
Abfrage für Server 25 vom 01.04.2010 04:05:00 bis heute:
server=25
apikey=server-key
start=1270087500
https://api.blocklist.de/api.php?server=25&apikey=xxxx&start=1270087500
Abfrage für Server 10 vom 01.04.2010 04:05:00 bis zum 10.06.2010 20:10:00:
server=10
apikey=server-key
start=1270087500
ende=1276193400
https://api.blocklist.de/api.php?server=25&apikey=xxxx&start=1270087500&ende=1276193400
Abfrage für den User "test" vom gesamten Zeitraum bis heute:
email=email@adresse-wie-im-profil.tld
apikey=user-key
start=1
https://api.blocklist.de/api.php?email=email@adresse-wie-im-profil.tld&apikey=xxxx&start=1
Abfrage für eine einzelne IP-Adresse vom gesamten Zeitraum bis heute:
ip=78.46.91.239
start=1
https://api.blocklist.de/api.php?ip=78.46.91.239&start=1
Beispiel-Code für PHP (es empfiehlt sich die Ausgabe zu cachen):
<?php
$url = 'https://api.blocklist.de/api.php?email=user@adresse.tld&apikey=xxxxxxx&start=1&format=php';
$cachefile = './blocklist.de.cache';
$cachetime = filemtime($cachefile);
$diff = time() - $cachetime;
if($diff <= 3600)
{
if(filesize($cachefile) >= 5)
{
$result = file_get_contents($cachefile);
}
else
{
$result = unserialize(file_get_contents($url));
}
}
else
{
$result = unserialize(file_get_contents($url));
}
$attacks = $result['attacks'];
$reports = $result['reports'];
echo 'Angriffe: '.$attacks;
echo '<br />';
echo 'Reports: '.$reports;
echo '<br />Powered by <a href="http://www.blocklist.de/de/" target="_blank">www.blocklist.de</a>';
?>
DNS - bl.blocklist.de
Beispiel DNS-Abfrage:
Eine Abfrage aller Listen für die IP 127.0.0.2 kann z.B. wie folgt erfolgen:
host -t any 2.0.0.127.bl.blocklist.de
Antwort:
2.0.0.127.bl.blocklist.de TXT "Infected System (Service: w00tw00t), see http://www.blocklist.de/en/view.html?ip=127.0.0.2"
2.0.0.127.bl.blocklist.de A 127.0.0.15
Weitere Beispiele und auch für andere Dienste, gibt es im Forum unter:
https://forum.blocklist.de/viewtopic.php?f=11&t=17
Auf der DNS-Blacklist sind alle IP-Adressen von Angreifer der letzten 48 Stunden gespeichert.
Die Blacklist kann zur Bewertung von Mails oder Usern (Bots, Foren-Spam) verwendet werden. Ob eine Ablehnung dadurch entsteht, entscheidet der Administrator, welcher die Liste von bl.blocklist.de einsetzt.
| Name / URL | Beschreibung / Inhalt |
| apache.bl.blocklist.de | Apache, RFI, w00tw00t, SQL-Injection + http://honeystats.info/ |
| bl.blocklist.de | Alle IP-Adressen (alle Dienste) |
| all.bl.blocklist.de | Alle IP-Adressen (alle Dienste) |
| ftp.bl.blocklist.de | FTP nur IP's, die FTP-Angriffe gefahren haben. |
| imap.bl.blocklist.de | imap, pop3, sasl, webmail-Logins.... |
| mail.bl.blocklist.de | mail/postfix, 5xx-Fehler (Blacklist-Einträge), Relaying... |
| ssh.bl.blocklist.de | IPs, welche SSH-Angriffe ausgeführ haben. |
| sip.bl.blocklist.de | IPs, welche Sip/Asterisk Brute-Force-Login-Attacken ausgeführt haben. |
Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
badbot = 127.0.0.5
ftp = 127.0.0.6
imap = 127.0.0.7
ircbot = 127.0.0.8
mail = 127.0.0.9
pop3 = 127.0.0.10
regbot = 127.0.0.11
rfi-attack = 127.0.0.12
sasl = 127.0.0.13
ssh = 127.0.0.14
w00tw00t = 127.0.0.15
portflood = 127.0.0.16
sql-injection = 127.0.0.17
Nur die zuletzt hinzugefügten IP-Adressen abrufen:
Benutzung über die API:https://api.blocklist.de/getlast.php?time=xx:xx
time = unixtime
OR
time = hh:ii
Policy:
In der Export-/DNS-Liste sind alle IP-Adressen gelistet, die in den letzten 48 Stunden einen Angriff ausgeführt haben und welche nicht über Delist-Link vorzeitig ausgetragen wurden.