Skip to content

Aggregation of lists of malicious IP addresses (C2, malware, phishing), to be blocked in the LAN > WAN direction, integrated into firewalls: FortiGate, Palo Alto, pfSense, IPtables

Notifications You must be signed in to change notification settings

romainmarcoux/malicious-outgoing-ip

Repository files navigation

Introduction

[FR]

  • Agrégation de listes d'adresses IP malveillantes scindée en fichiers de 131 072 entrées au maximum pour être intégrées dans des pare-feux : Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
  • Adresses IP malveillantes de type phishing, malware et C2 (Command & Control) donc à bloquer UNIQUEMENT en sortie : dans le sens LAN > WAN
  • Adresses IP ordonnées en fonction du nombre de listes dans lesquelles elles apparaissent (IP malveillantes apparaissant dans le plus de listes sont donc dans le premier fichier full-aa.txt)
  • Mise à jour toutes les heures

Fichiers à utiliser (liens dans la partie "Links" ci-dessous) :

  • full-outgoing-ip-aa.txt : 131 072 adresses IP les plus malveillantes
  • full-outgoing-ip-aX.txt : autres adresses IP malveillantes
  • full-outgoing-ip-40k.txt : 40 000 adresses IP les plus malveillantes

[EN]

  • Aggregation of lists of malicious IP addresses split into files of a maximum of 131,072 entries to be integrated into firewalls: Fortinet FortiGate, Palo Alto, pfSense, OPNsense, IPtables ...
  • Malicious IP addresses such as phishing, malware and C2 (Command & Control), therefore ONLY to be blocked in the LAN > WAN direction
  • Adresses IP classées selon le nombre de listes dans lesquelles elles apparaissent (malicious IPs appearing most frequently first and therefore at the beginning of the full-aa.txt file)
  • Updated every hour

Files to use (links in the "Links" section below):

  • full-outgoing-ip-aa.txt: 131,072 most malicious IP addresses
  • full-outgoing-ip-aX.txt: other malicious IP addresses
  • full-outgoing-ip-40k.txt: 40,000 most malicious IP addresses

Menu:

Statistics

Update of the following table: 2024-11-27 04:14 CEST

Malicious IP addresses in full-outgoing-ip-a-* % Number of IPs
Present in 3 sources and more 1.16 % 1 721
Present in 2 sources 11.17 % 16 478
Present in 1 source 87.65 % 129 244
Total 100 % 147 443

Implementation

[FR]

Comment intégrer ces listes dans un pare-feu ?

  • FortiGate
    • Menu "Security Fabric → External Connectors → Create New → IP Address"
    • Prendre une URL dans la partie "Links" ci-dessous
    • Après, les listes peuvent être utilisées dans les "Firewall Policy" avec les objets "IP Address Threat Feed"
    • Implémentation de la liste full validée même sur le plus petit boitier FortiGate 40F
    • Plus d'informations : sur cette page de l'aide Fortinet
  • Palo Alto : lien. Modèle PA-3200 et supérieurs limités à 150k IP (utilisez uniquement full-aa.txt), modèles inférieurs limités à 50k IP (utilisez le fichier full-40k.txt)
  • pfSense : via ce repo GitHub qui permet d'implémenter une API dans pfSense. Attention, par défaut le nombre maximal d'objets est de 400k. Possibilité d'augmenter cette valeur si votre pfSense a beaucoup de RAM. Plus d'infos ici.
  • OPNsense : via API (doc. Modifier le nombre maximal d'entrées d'un alias : "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
  • IPTables avec le paquet "ipset" : tutorial 1 tutorial 2

[EN]

How to integrate these lists into a firewall?

  • FortiGate
    • Menu "Security Fabric → External Connectors → Create New → IP Address"
    • Take a URL in the "Links" section below
    • Then, the lists can be used in "Firewall Policy" as "IP Address Threat Feed" objects.
    • Implementation of the full list validated even on the smallest FortiGate 40F appliance
    • More information: on this page Fortinet help page
  • Palo Alto: here. PA-3200 model and above limited to 150k IP (use full-aa.txt only), lower models limited to 50k IP (use full-40k.txt file)
  • pfSense: via this GitHub repo which allows you to implement an API in pfSense. Be careful, by default the maximum number of objects is 400k. Possibility to increase this value if your pfSense has a lot of RAM. More info here here.
  • OPNsense : via API (doc. Change the maximum number of entries for an alias: "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries".
  • IPTables with the "ipset" package: tutorial 1 tutorial 2

Files URLs

Full aggregation files:

https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-aa.txt
https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-ab.txt

File of the 40,000 most malicious IPs:

https://raw.githubusercontent.com/romainmarcoux/malicious-outgoing-ip/main/full-outgoing-ip-40k.txt

Sources

Filename Source Description
abuse.ch-* link Command and control, RAT, Malware IPs
alienvault-precisionsec-* link Command and control and Malware IPs
cert.ssi.gouv.fr-* link Cybercriminal groups, malware and phishing IPs
cybercrime-tracker.net-* link Command and control and Malware IPs
cybercure.ai-* link Malware IPs
digitalside.it-* link Malware IPs
drb-ra-* link Command and control IPs
inquest.net-* link Command and control and Malware IPs
mattyroberts.io-* link Attackers, Botnet and Malware IPs
sicehice-* link Command and control IPs
threatview.io-* link Botnet, C2, malware and phishing IPs
urlabuse.com-* link Hacked website, malware and phishing IPs
urlhaus.abuse.ch-* link Malware IPs
ut1-fr link Malware and phishing IPs
viriback.com-* link Command and control and Malware IPs

Release Notes

  • 2024-08-21: New sources: alienvault-precisionsec, cybercrime-tracker.net, digitalside.it, drb-ra, ut1-fr, viriback.com
  • 2024-07-17: New source: inquest.net
  • 2024-07-11: New source: urlhaus.abuse.ch
  • 2024-07-08: Initial release with first sources: abuse.ch, cert.ssi.gouv.fr, cybercure.ai, mattyroberts.io, sicehice.com, threatview.io and urlabuse.com

To support me

BuyMeACoffee Paypal

Contact

[FR]

Contactez-moi via LinkedIn (mon profil) pour :

  • m'indiquer des faux positifs
  • être notifié quand un nouveau segment de fichier est créé (pour l'ajouter dans votre pare-feu)
  • me proposer d'ajouter une autre source d'adresses IP malveillantes (voir sources actuelles)

[EN]

Contact me via LinkedIn (my profile) to:

  • notify me false positives
  • be notified when a new file segment is created (to add it to your firewall)
  • suggest I add another source of malicious IP addresses (see current sources

About

Aggregation of lists of malicious IP addresses (C2, malware, phishing), to be blocked in the LAN > WAN direction, integrated into firewalls: FortiGate, Palo Alto, pfSense, IPtables

Topics

Resources

Stars

Watchers

Forks