Bonjour,
Existe-t-il un équivalent communautaire des RBL ou DNSBL pour le web ?
En d'autres termes, lorsqu'une information est demandée sur serveur web, l'adresse IP, le referrer et le user agent sont transmis (ou usurpés); y a-t-il un moyen de savoir si le referrer est un serveur hacké et surtout si l'IP appartient à un serveur hacké (idée de réputation à la Cisco)?
On peut se baser sur les RBL car un serveur emettant du SPAM a de forte chance d'être corrompu mais cela me semble léger ?
Merci à tous
JC PAROLA
Bonjour,
Une sorte de RBL utilisant la base de donnée de "Project Honey Pot" ... Il y a l'application IP Reputation venant de Splunk Community qui justement l'utilise.
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
Bonne journée
Florent
Bonjour,
Génial, merci beaucoup
Le 12/06/2013 16:29, Florent CARRÉ a écrit :
Bonjour,
Une sorte de RBL utilisant la base de donnée de "Project Honey Pot" ... Il y a l'application IP Reputation venant de Splunk Community qui justement l'utilise.
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
Bonne journée
Florent
Liste de diffusion du FRsAG http://www.frsag.org/
Y'a http://www.mywot.com/ et https://www.stopbadware.org/ Sinon il doit bien avoir des bases, parce que c'est le genre de truc très commun dans les solutions de sécurité corporate (Symantec, Trendmicro, etc), mais elle ne sont sans doute pas publiques.
-- Benjamin
Le 12 juin 2013 16:40, JC PAROLA contact@sels-ingenierie.com a écrit :
Bonjour,
Génial, merci beaucoup
Le 12/06/2013 16:29, Florent CARRÉ a écrit :
Bonjour,
Une sorte de RBL utilisant la base de donnée de "Project Honey Pot" ... Il y a l'application IP Reputation venant de Splunk Community qui justement l'utilise.
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
Bonne journée
Florent
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 12/06/2013 16:29, Florent CARRÉ a écrit :
http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php
J'en profite pour placer une question, je n'ai pas trouvé d'accès API ou autre pour Project Honey Pot, il y a moyen d'interroger ou récupérer une liste quelque part?
Bonsoir,
Dans la partie Services, on peut y voir quelques informations : https://www.projecthoneypot.org/services_overview.php
Les implémentations existantes : https://www.projecthoneypot.org/httpbl_implementations.php
Ensuite pour l'API :
* Http:API Specification : https://www.projecthoneypot.org/httpbl_api.php * Message Board http:BL Use/Development : http://www.projecthoneypot.org/board/list.php?f=10
Bonne soirée
Florent
Le 12/06/2013 16:24, JC PAROLA a écrit :
Bonjour,
Bonjour
Existe-t-il un équivalent communautaire des RBL ou DNSBL pour le web ?
En d'autres termes, lorsqu'une information est demandée sur serveur web, l'adresse IP, le referrer et le user agent sont transmis (ou usurpés); y a-t-il un moyen de savoir si le referrer est un serveur hacké et surtout si l'IP appartient à un serveur hacké (idée de réputation à la Cisco)?
On peut se baser sur les RBL car un serveur emettant du SPAM a de forte chance d'être corrompu mais cela me semble léger ?
As-tu pensé aux listes fournies pour les IDS? Par exemple les listes d'emerging threats : http://rules.emergingthreats.net/fwrules/
Merci à tous
JC PAROLA
Gaëtan
Bonsoir,
Honte à moi d'avoir oublier le plus simple ... Pour les personnes qui veulent la liste IP de http://rules.emergingthreats.net/fwrules/ en fichiers textes spécifiques (compromised, rbn et rbn-malvertisers), il faut aller à l'url pour Suricata IDS : http://rules.emergingthreats.net/blockrules/
Bonne soirée
Florent
Le 12/06/2013 21:35, Florent CARRÉ a écrit :
Bonsoir,
Bonsoir,
Honte à moi d'avoir oublier le plus simple ... Pour les personnes qui veulent la liste IP de http://rules.emergingthreats.net/fwrules/ en fichiers textes spécifiques (compromised, rbn et rbn-malvertisers), il faut aller à l'url pour Suricata IDS : http://rules.emergingthreats.net/blockrules/
Quelle est le dégrée de confiance qu'on peut avoir à ces règles ? Autrement dit, qui décide sur le contenu des listes et avec quelle modération ou peer review ?
Cheers,
mh
Florent
Liste de diffusion du FRsAG http://www.frsag.org/
Le 12/06/2013 21:01, Gaetan Duchaussois a écrit :
As-tu pensé aux listes fournies pour les IDS? Par exemple les listes d'emerging threats : http://rules.emergingthreats.net/fwrules/
Je viens également de trouver http://www.malwaredomainlist.com/forums/index.php?topic=3270.0 http://www.malwaredomainlist.com
La liste des IP et les update sont téléchargeables au format CSV
C'est apparemment bien suivi, dans l'update d'hier 10 IP ont été ajoutées.
Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com.
Le 13/06/2013 10:09, JC PAROLA a écrit :
Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com.
Je viens de faire une petite (vraiment petite) comparaison entre :
*projecthoneypot*.org malwaredomainlist.com http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules
Je ne sais pas combien contient de règles *projecthoneypot*.org, mais emergingthreats.net en contient 20 000 et malwaredomainlist.com 86 000.
Les dernières IP présentes dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules, n'ont pas été trouvées dans *projecthoneypot*.org.
en revanche, les IP présente dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules concordent avec celle de *projecthoneypot*.org.
Il semble donc que *projecthoneypot*.org et malwaredomainlist.com soient en cohérence entre elle. D'autant plus que 86 000 IP blacklistées semble un chiffre plus "vraissemblable" que 20 000.
JC PAROLA
Le 13/06/2013 10:21, JC PAROLA a écrit :
Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com.
dernière infos de Prod, je viens d'intervenir sur un Joomla qui s'est fait malmené, l'adresse IP qui a exploité la faille joomla est présente dans *projecthoneypot*.org uniquement les autres font choux blanc !
Bonsoir à tous,
Désolé d'upper le thread, mais le sujet m’intéresse bigrement !
Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise.
Un mix des différentes autres aussi ?
J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod .
Qu'en pensez vous ?
@+ Christophe.
JC PAROLA a écrit :
Le 13/06/2013 10:21, JC PAROLA a écrit :
Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com.
dernière infos de Prod, je viens d'intervenir sur un Joomla qui s'est fait malmené, l'adresse IP qui a exploité la faille joomla est présente dans *projecthoneypot*.org uniquement les autres font choux blanc !
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour
J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod .
Ce que tu dis ressemble à ce que propose portsentry un(e) IDS qui alerte ou bloque selon la configuration les ip cherchant à se connecter à trop de ports à la suite.
Si on couple ceci sur un rsylog tu devrais pouvoir mutualiser les différentes remontées sur le firewall d'entrée.
Km
Le 30/06/2013 23:37, Christophe a écrit :
Bonsoir à tous,
Désolé d'upper le thread, mais le sujet m’intéresse bigrement !
Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise.
Un mix des différentes autres aussi ?
J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod .
Qu'en pensez vous ?
Bonjour,
J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui tentaient des attaques sur mes serveurs et celles présentes dans projecthoneypot.
Je te confirme que projecthoneypot est de loin la plus à jour par rapport aux autres mes la correspondance n'est systematique loin de là.
Pour ma part, je ne m'en sert pas en Prod.
De plus, il me semble que cela rassemble plus les serveurs hackés (trojan, ...) que des serveurs qui mènent des attaques sur d'autres serveurs. Même si l'un ne va pas sans l'autre, la liste de projecthoneypot n'est pas suffisamment fiable.
Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS et injections SQL sont bien répérées et bloquées.
Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me faire mes propres règles de blackliste. de plus, dans un environnement mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer l'IP et protéger ainsi tous les autres.
Le point interessant est que tu maitrise tout de bout en bout. Si tu est sûr de toi, tu blacklistes les IP pendant 8/24/36/48h.... sinon tu blackistes sur des plus petites durées. en cas de faux positifs ça fait moins mal :-)
-
Benjamin BILLON -
cam.lafit@azerttyu.net -
Christophe -
Florent CARRÉ -
Gaetan Duchaussois -
JC PAROLA -
Michael Hallgren -
Wallace