<div dir="ltr"><div><div>J,<br><br></div>Did you intend to provide the script for others to use and add data, or just the data you collected so far?<br><br></div>Regards,<br><br>Oren<br></div><div class="gmail_extra"><br><br>

<div class="gmail_quote">On Wed, Oct 23, 2013 at 8:04 AM, J. Oquendo <span dir="ltr"><<a href="mailto:sil@infiltrated.net" target="_blank">sil@infiltrated.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On Tue, 22 Oct 2013, Jay Hennigan wrote:<br>
<br>
> On 10/22/13 6:57 AM, J. Oquendo wrote:<br>
> ><br>
> > Going to cross post this to the list (I know some of us<br>
> > criss-cross lists). Reasoning, a lot of IP PBXs have<br>
> > web based interfaces, and some need to be on the public<br>
> > Internet.<br>
> ><br>
> > Cobbled together a script to scrape my logs, parse out web<br>
> > based attackers (SQLi, XSS, CSRF, etc) and compile said list<br>
> > for blacklisting. Script is pulling from 6 different web<br>
> > servers for now. I may add more later depending on whether<br>
> > or not I see a lot of usage.<br>
> ><br>
> > <a href="http://www.infiltrated.net/webattackers.txt" target="_blank">http://www.infiltrated.net/webattackers.txt</a><br>
><br>
> Thanks.  I personally would like to see it as solely raw IP addresses<br>
> rather than a mix of IPs and PTRs.  The PTRs may not match forward DNS,<br>
> particularly if a bad guy has control of rDNS.<br>
><br>
<br>
</div>I changed it up, but will leave existing domains on there.<br>
I thought about this (domains vs. IPs) in the sense that,<br>
filtering (WAF) often tends to rely on domains. Then I<br>
thought about matching domains to IPs on that instance but<br>
it wouldn't have been cumbersome considering anyone can<br>
edit /etc/hosts or c:\windows\system32\etc\drivers\hosts<br>
so I left it alone. As of about 20 minutes of the original<br>
post, I re-configured Apache to stop hostname lookups.<br>
<div class="im HOEnZb"><br>
--<br>
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
J. Oquendo<br>
SGFA, SGFE, C|EH, CNDA, CHFI, OSCP, CPT, RWSP, GREM<br>
<br>
"Where ignorance is our master, there is no possibility of<br>
real peace" - Dalai Lama<br>
<br>
42B0 5A53 6505 6638 44BB  3943 2BF7 D83F 210A 95AF<br>
<a href="http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x2BF7D83F210A95AF" target="_blank">http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x2BF7D83F210A95AF</a><br>
</div><div class="HOEnZb"><div class="h5">_______________________________________________<br>
VoiceOps mailing list<br>
<a href="mailto:VoiceOps@voiceops.org">VoiceOps@voiceops.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/voiceops" target="_blank">https://puck.nether.net/mailman/listinfo/voiceops</a><br>
</div></div></blockquote></div><br></div>