NFsec Logo

Blokujemy sieci tor i botnety ransomware

13/05/2016 w Bezpieczeństwo, Hacks & Scripts Brak komentarzy.  (artykuł nr 519, ilość słów: 182)

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:

#!/bin/bash

ipset -N rware
ipset -N tor

wget -q https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt -O - |\
sed "/^#/d" | while read IP
do
  ipset -q -A rware $IP
done
wget -q https://feodotracker.abuse.ch/blocklist/?download=ipblocklist -O - |\
sed "/^#/d" | while read IP
do
  ipset -q -A rware $IP
done
wget -q http://torstatus.blutmagie.de/ip_list_exit.php/Tor_ip_list_EXIT.csv -O - |\
while read IP
do
  ipset -q -A tor $IP
done

iptables -A FORWARD -m set --match-set rware src -d 192.168.0/24 -j DROP
iptables -A FORWARD -m set --match-set tor src -d 192.168.0/24 -j DROP

Więcej informacji: The Swiss Security Blog, Advanced Firewall Configurations with ipset

Kategorie K a t e g o r i e : Bezpieczeństwo, Hacks & Scripts

Tagi T a g i : , , , , , , , , , , , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.