Gruppo di lavoro - lista con gli ip da bloccare

[xcdegasp]

Aperto il Gruppo di Lavoro che procederà ad analizzare ed elaborare:

Quote:

Originariamente inviato da Lazza84

Avrei una proposta: frequentando la sez. news ho notato che ultimamente sono state postate delle discussioni in cui si fa riferimento a precisi indirizzi ip da bloccare perchè il contenuto a cui si riferiscono è "a rischio" (x dire poco).
Es.

http://www.hwupgrade.it/forum/showthread.php?t=1664617
http://www.hwupgrade.it/forum/showthread.php?t=1678259


Perchè nn facciamo anche qua su hw upgrade una "nostra" lista con gli ip da bloccare che si conoscono/che si presenteranno con le nuove notizie ?
Non intendo un clone delle varie liste che si trovano in giro (bluetack, enetec, pawcio, p.g., ecc.), ma "solo" un aggiunta con le "chicche" segnalate.
Intendo che si possa aprire un thread in cui postare i vari indirizzi ip "maligni" che gli utenti trovano, in questo modo è possibile avere una singola lista di facile lettura e accesso e nn dover cercare x la sez. sicurezza (sempre che qualcuno lo faccia ).
Cosa ne dite ?

[Lazza84]

Quote:

Originariamente inviato da xcdegasp

sono tutto occhi

Quote:

Originariamente inviato da Lazza84

Avrei una proposta: frequentando la sez. news ho notato che ultimamente sono state postate delle discussioni in cui si fa riferimento a precisi indirizzi ip da bloccare perchè il contenuto a cui si riferiscono è "a rischio" (x dire poco).
Es.

http://www.hwupgrade.it/forum/showthread.php?t=1664617
http://www.hwupgrade.it/forum/showthread.php?t=1678259


Perchè nn facciamo anche qua su hw upgrade una "nostra" lista con gli ip da bloccare che si conoscono/che si presenteranno con le nuove notizie ?
Non intendo un clone delle varie liste che si trovano in giro (bluetack, enetec, pawcio, p.g., ecc.), ma "solo" un aggiunta con le "chicche" segnalate.
Intendo che si possa aprire un thread in cui postare i vari indirizzi ip "maligni" che gli utenti trovano, in questo modo è possibile avere una singola lista di facile lettura e accesso e nn dover cercare x la sez. sicurezza (sempre che qualcuno lo faccia ).
Cosa ne dite ?

Qualche parere ?

[leolas]

Quote:

Originariamente inviato da Lazza84

[cut]

Quote:

Originariamente inviato da Lazza84

Qualche parere ?

Abbiamo solo 3 IP (almeno per ora)

[xcdegasp]

@ Lazza84: mi vendi la serie de Il Padrino con in omaggio un simpatico peluche con un cappello all'ultima moda per essere sempre elegante?
grazie troppo gentile, ma non posso accettare.. veramente!

[Lazza84]

Quote:

Originariamente inviato da leolas

Abbiamo solo 3 IP (almeno per ora)

Lo so, una goccia nel mare, ma finchè nn si parte nn si può crescere.... poi conto sul fatto che chi passa di lì e ha qualche notizia ovviamente posti e quindi il numero di ip in lista cresca
Dove conviene aprirlo ? In AV e sicurezza in generale ?
Come titolo "La lista nera degli indirizzi IP di HW Upgrade" può andare bene ? Suggerimenti ?

[xcdegasp]

vi ho aperto il thread Gruppo di Lavoro cosicchè possiate discutere liberamente e con ampio appoggio, poi per il thread operativo (quello definitivo) lo apriremo quando c'è il materiale e l'operatività delineata e organizzata

[Lazza84]

Grazie della collaborazione e dell'appoggio

[Johnny Bravo]

Ma hai in mente, scusa il tu, liste per Peerguardian (et simili) o per software che "trattano" hosts (tipo hosts manager e hostsman)? Già se sapessi come usare quella de "Grozomon e i suoi fratelli"... sarei felice. Anzi, secondo me, l'ideal sarebbe una lista unica per ogni cosa, magari una "somma" di liste già note, ma in un unico blocco. Tornando invece al problema hosts, leggo in giro che manca una lista unica italiana, infatti i link di quasi tutti i siti che ospitano hosts (intesi come lista di siti) si preoccupano di filtrare materiale estero. Tutto qua. Ci vorrebbero dei filtri "solo italiani". Ho detto la mia.

[Lazza84]

Quote:

Originariamente inviato da Johnny Bravo

scusa il tu,

Ma figurati, nn pensarci nemmeno ! Sei molto gentile

Quote:

Originariamente inviato da Johnny Bravo

Ma hai in mente, scusa il tu, liste per Peerguardian (et simili) o per software che "trattano" hosts (tipo hosts manager e hostsman)?

L'idea di partenza (visto il numero attuale molto esiguo di ip) era quella di fare una lista di indirizzi da bloccare col firewall. Ovviamente un discorso del genere ha senso finchè gli indirizzi sono pochi perchè se uno deve riconfigurare da zero il firewall si trova a dover inserire manualmente uno alla volta (singoli ip o range di ip) gli indirizzi da bloccare e questo oltre a essere una perdita di tempo mi sembra una cosa da età della pietra.
Quindi il passo successivo sarebbe appunto creare una lista da "incollare" in un txt in modo da poterla aggiungere direttamete alle liste già presenti nn so, x es. di peerguardian. Infatti io adesso alle liste già presenti a pg aggingo manualmente 2 txt che sono le liste enetec. Sicuramente ci saranno dei doppioni ma BlockList Manager della bluetack nn riesco a farlo funzionare correttamente x fondere le liste, ma questo è un altro discorso... che vorrei però risolvere

Quote:

Originariamente inviato da Johnny Bravo

Anzi, secondo me, l'ideal sarebbe una lista unica per ogni cosa, magari una "somma" di liste già note, ma in un unico blocco.

L'idea di fondere più liste in una e a questo punto aggiungo eliminando i doppioni presenti in modo da alleggerirla e nn ritrovarci un txt da 20MB nn è affatto male ma nn so se sia possibile, nel senso nn so come "reagirebbero" i creatori originari delle varie liste e quali diritti abbiano su di esse.
Cmq sicuramente una "super-lista" penso che faccia comodo a molti utenti, soprattutto a quelli più "attenti" alla sicurezza.

Quote:

Originariamente inviato da Johnny Bravo

Tornando invece al problema hosts, leggo in giro che manca una lista unica italiana, infatti i link di quasi tutti i siti che ospitano hosts (intesi come lista di siti) si preoccupano di filtrare materiale estero. Tutto qua. Ci vorrebbero dei filtri "solo italiani".

Su questo preciso aspetto nn saprei risponderti, nel senso che i vari enetec, bluetack (x es.) nn so se prediligano "scansionare" (e quindi rilasciare i relativi ip "maligni") gli altri paesi e nn il nostro.
Sul filtro solo italiano (inteso come indirizzi ip da "evitare" italiani) nn so quanto abbia senso, poichè quando si è collegati si è esposti ai pericoli "globali".

Quote:

Originariamente inviato da Johnny Bravo

Ho detto la mia.

E hai fatto bene, servono gli interventi di tutti quelli che hanno da dire qualcosa in materia x poter migliorare !

[xcdegasp]

ma possimo sfruttare il know how interno al forum che non pecca di certo ai vari enetec e bluetack, che nbon ce ne vogliano...
esempio:
http://www.hwupgrade.it/forum/showthread.php?t=1681271

tra l'altro quel blog come info per partire sono ottime

[Lazza84]

esatto! infatti questa era l'idea base del thread: fare una "nostra" lista.
Grazie del link, è ottimo !
Intanto inizio a buttare giù la bozza del post iniziale...

[Lazza84]

Ciao, sto buttando giù una lista che sia direttamente copiabile ed incollabile in un txt e questo possa essere direttamente aggiunto a peerguardian. Penso che la cosa risulti molto comoda e cmq se uno nn utilizza p.g. è cmq di facile conversione.
Per indirizzi singoli recuperati in giro li aggiungo a mano, "il problema" sorge con liste lunghe.
Ora come ora sto provando questo convertitore:
http://www.bluetack.co.uk/converter/index.php

e la cosa funziona es:

Quote:

195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA

diventa: (Selezionando: Source format: Plain IP range Output format: Peerguardian plain text)

Quote:

From Plain Ranges:95.225.176.0-195.225.179.255
From Plain Ranges:195.234.159.0-195.234.159.255
From Plain Ranges:85.255.112.0-85.255.127.255
From Plain Ranges:69.50.160.0-69.50.191.255
From Plain Ranges:81.29.240.0-81.29.242.63
From Plain Ranges:67.15.64.166-67.15.64.168
From Plain Ranges:69.31.0.0-69.31.143.255
From Plain Ranges:66.230.128.0-66.230.191.255

così è scritta nel formato corretto per essere letto da p.g., solo che con questo metodo si perdono i nomi, infatti dovrebbe essere:
NETCATHOST_Ucraina:195.234.159.0-195.234.159.255


Qualcuno conosce qualche altro metodo/programma oppure ce ne freghiamo dei nomi e teniamo solo la lista degli ip ?

Thk

[xcdegasp]

http://edetools.blogspot.com/2008/02...po-comune.html

[Lazza84]

thk
Il primo post l'ho quasi finito (in questo periodo sono molto preso con l'uni )
Mentre x la lista mi sono arenato: aspettando qualche che mi risponda, cmq nel caso x ora la faccio "senza nomi".

Un altra cosa, dall'url del sito maligno come faccio a risalire all'ip da mettere in lista ?

http://www.visualroute.it/strumenti/resolve.asp

va bene ?
Però così nn blocco direttamente l'accesso a tutto il sito ?, infatti
xxx.comune.bellizzi.sa.it/webwiz/default.asp

diventa
xxx.comune.bellizzi.sa.it

=

88.59.122.186

P.S. ho messo le xxx per nn mettere il link "accessibile"

[xcdegasp]

però il resto del sito è immune... quindi dovremmo metterci lì a individuare l'ip chiamato da un iframe malevolo di quei link..

potremmo tenere monitorata il risultato della ricerca con queste parole chiave:

Spoiler:

Codice: inurl:memberdata inurl:.it

e della ricerca:

Spoiler:

Codice: intext:”hacked by” site:.it

[Chill-Out]

http://www.hwupgrade.it/forum/showthread.php?t=1689980

[Lazza84]

Quote:

Originariamente inviato da xcdegasp

però il resto del sito è immune...

Esatto...
scusa, però nn ho ben capito come procedere
Le parole chiave che mi hai dato come le devo utilizzare ? puoi farmi un esempio su un link infetto, poi continuo io.

Grazie

[xcdegasp]

inseriscile proprio così come copia/incolla nel campo di ricerca di google o di altro motore

altra chicca che merita molta attenzione:
http://forum.pcalsicuro.com/index.php/topic,244.0.html

[Lazza84]

Ok, con google ricercando "inurl:memberdata inurl:.it" me ne da 4 mentre con "intext:”hacked by” site:.it" me ne sputa fuori 101.000... devo dire che i siti it sono proprio sicuri
Quindi teoricamente gli "hacked by" andrebbero bloccati tutti finchè nn risolvono.... però visto la portata se nn si automatizza il processo di ricerca dell'url e poi del relativo ip da bloccare...

Cmq non ho capito come si risolve il problema di bloccare solo una parte di un sito attraverso l'ip, infatti le due liste di pagine infette:
http://bp0.blogger.com/_-6waw8mcpyI/...rlcontents.jpg
http://bp2.blogger.com/_-6waw8mcpyI/...-h/lista+1.jpg

mi danno l'url, ma con : http://www.visualroute.it/strumenti/resolve.asp posso avere l'ip della home page del sito e basta, quindi se blocco quello blocco l'accesso a tutto il sito. Come risolvo x mettere il lista il blocco a quella determinata pagina e basta ?

Grazie 1000 della collaborazione

[xcdegasp]

io credo che si possa lasciare aperto appunto per trovare la soluzione a vari quesiti che nascono...
una sorta di spazio beta-testing e sviluppo, mentre l'altro thread è "produzione" quindi lavoro finito e promosso

dimmi te