The new update for my ip-blocklist is online. This weekend was busy in Germany we had attacks from:
- Bangladesh -> targeting mail-servers
- Russia with “stolen” IPs from Ukraine targeting weak exchange servers / ssh and web-servers
- German proxy attacking German KRITIS IPs (someone is getting smarter?)
- China targeting webservers (as usual)
- Great Britain* fake Geo-IP from China and Russia targeting KRITIS
It is very easy to get on my list but once on it you stay there for a very long time or forever when you targeting KRITIS. For pro attackers targeting KRITIS is no possibility to get off the list others will be rechecked every YEAR. I check every IP-range by myself when I see multiple attacks or big attacks form an range it will be listed as 0/24.
Link to the list (TXT file) https://raubal-it.com/umbrella.txt
First update for my ip-blocklist in englisch
I normally dedicate the list to my friends from Germany. The list addresses the purposes of German KRITIS Infrastructure (system critical infrastructure) services. The listed IP-ranges are specially known for attacks on that infrastructure. But as some friends from US and Asia told me my list is very useful for them too because of a simple fact that it blocks professional hacking attempts on critical systems.
Mehr über Angriffe auf die KRITIS in Deutschland
Auf die Liste wurden auch zwei ganz frische Malware-Schleuder gesetzt mit passenden CCS die in mein Honeypot getreten sind 🙂
ACHTUNG: 1 IP-Beriech ist JETZT in Deutschland aktiv und wurde gelistet (VPN Hacking und DDOS).
Meine neue kostenfreie IP-Bereiche Blockliste Umbrella für KRITIS Infrastruktur. Die Liste beinhaltet aktuelle IP-Bereiche die gezielt gegen die KRITIS Infrastruktur in Deutschland „vorgehen“. Die Quellen sind Honeypot sowie F2B Auswertungen der letzten Wochen sowie kürzliche Angriffe. Wenn mehrere IP-Adressen eines Bereiches ausfällig wurden, wird der gesamte Bereich geblockt ähnlich wie die CISA-Liste oder iprbl. Anders als diese automatischen Listen beinhaltet meine nur bei abuseipdb geprüfte Bereiche die gezielt in Deutschland tätig waren. Ein besonderes Merkmal meiner Liste ist die Integration von IP-Bereichen, die sich auf VPN-Hacking spezialisiert haben.
Die Liste kann als TXT-Datei in die Firewall integriert werden. Manuell als Download und Integration oder automatisch indem die URL als Feed hinterlegt wird.
- Ich empfehle die Integration mit einem Paket DROP anstatt REJECT.
- Bei Verwendung von CISCO Firepower empfehle ich eine Liste in der Objektverwaltung und eine FlexConfig die darauf zugreift.
Ich übernehme keine Verantwortung für die Verwendung der Liste – die Aktualisierung erfolgt immer wenn neue Daten vorliegen. Eine vollständigkeit kann nicht gewährleistet werden.
Andere Beiträge
- CISCO Firepower FMC 100MB upload bug
CISCO Firepower FMC 100MB upload bug. Somehow CISCO always manages to surprise me with unnecessary bugs that shouldn’t be there. Especially if these bugs are old and could be easily fixed by CISCO. - IP-blocklist specifically for NAS securityIP-blocklist specifically for NAS security. I created a nice little feed with automatically updating IP addresses that specialize in attacking NAS devices
- Version 5.1 for iOSNew Version 5.1 for iOS – Exactly 10 years ago I published my first app for iOS. Back then it was for a company and not for me. How quickly time flies 😊
- The perfect place for researchthe perfect place for research. I think I found a new bug and a vulnerability in CISCOs Firepower 6.7 in combo with a grey tunnel. I asked a friend for doublecheck them. When he confirms you will read about it soon in CISA 😉
- First “extraterrestrial” hacking connectionOur first “extraterrestrial” hacking connection. In one case the attacker had a powerful server from HP with the old esxi 6.7 😉 I think some of them need a good admin more than my non-existent data. I would say: a admin can be a hacker but not every hacker is a good admin
