MuteBefehl/honeypot-blocklist
GitHub: MuteBefehl/honeypot-blocklist
从ICS/SCADA蜜罐与fail2ban日志中提取公共IP黑名单,帮助识别并阻断针对工业控制系统的恶意探测。
Stars: 0 | Forks: 0
# 蜜罐黑名单
从暴露在互联网上的 ICS/SCADA 主题蜜罐以及另一台生产服务器的 fail2ban 封禁记录中派生的公共威胁情报列表。列表中的每一个 IP 都曾主动发起未请求的连接或触发了自动封禁,并且不属于我能识别的任何研究型扫描器(Shodan、Censys、Shadowserver、BinaryEdge、Onyphe 等已被过滤)。
列表采用事实上的标准格式:**每行一个 IP**,以 `#` 开头的行作为注释。兼容 `ipset`、`iptables`、`nftables`、`fail2ban`、Cloudflare IP Access Rules、pfSense/OPNsense URL 表、nginx、Caddy 以及任何支持 FireHOL/Spamhaus 风格纯文本的规则。
## 列表
### [`high.txt`](high.txt)
积极尝试破坏或操控蜜罐的 IP,以及在另一台生产服务器上被 fail2ban 封禁并已上报 AbuseIPDB 的 IP。示例:成功或重复的 SSH 暴力破解(≥20 次尝试)、VNC 认证尝试、HMI 管理员登录尝试、像设定点更改或报警确认这样的控制平面交互、主动的 Modbus/S7 函数调用、针对环境与备份端口的 CVE 探测。**高度确信**这些活动具有恶意性质。
### [`medium.txt`](medium.txt)
仅执行扫描、探测或匿名加载页面的 IP。Modbus/S7/VNC 上的 TCP 握手但无进一步交互,对登录页面的 `GET` 请求,被动侦察。**中等置信度**——可能是研究或机会性扫描。使用时需谨慎。
## 使用方法
### iptables / ipset
```
ipset create honeypot_high hash:ip
curl -s https://raw.githubusercontent.com/MuteBefehl/honeypot-blocklist/main/high.txt \
| grep -vE '^(#|$)' \
| xargs -I {} ipset add honeypot_high {} 2>/dev/null
iptables -I INPUT -m set --match-set honeypot_high src -j DROP
```
### nftables
```
nft add set inet filter honeypot_high { type ipv4_addr\; }
curl -s https://raw.githubusercontent.com/MuteBefehl/honeypot-blocklist/main/high.txt \
| grep -vE '^(#|$)' \
| while read ip; do nft add element inet filter honeypot_high { $ip }; done
nft add rule inet filter input ip saddr @honeypot_high drop
```
### nginx
```
curl -s https://raw.githubusercontent.com/MuteBefehl/honeypot-blocklist/main/high.txt \
| grep -vE '^(#|$)' \
| sed 's|^|deny |; s|$|;|' > /etc/nginx/honeypot-blocklist.conf
# 然后在您的 server 块中:
# include /etc/nginx/honeypot-blocklist.conf;
```
### pfSense / OPNsense
防火墙 → 别名 → IP → URL 表,将上述任意原始 URL 粘贴为源。
### Cloudflare
使用 IP Access Rules API,或创建一个带有 `ip.src in { ... }` 匹配列表的 WAF 自定义规则。
## 更新
列表会定期根据新的蜜罐事件重新生成。长时间保持不活跃的 IP(几周)可能会在未来的更新中消失(住宅/CGNAT 回收)。
## 不提供任何保证
这来自单个蜜罐的最佳努力威胁情报转储,并非商业数据源。可能存在误报——尤其是 `medium.txt`。在生产环境中部署前,请评估该列表是否适合您的使用场景。
## 报告误报
如果您认为某个 IP 不应被列入(例如它属于新的研究扫描器,或子网被误判),请提供该 IP 及简要理由并提交问题。
## 许可证
列表本身属于公有领域 / CC0 —— 您可以使用、分发、将其与自有数据源结合,无需署名。脚本和 README 采用 MIT 许可。
标签:Caddy, Cloudflare IP Access Rules, CVE探测, DNS通配符暴力破解, fail2ban, FireHOL, HMI, ICS/SCADA, ipset, iptables, IP封禁, IP黑名单, nftables, Nginx, OPNsense, pfSense, PKINIT, PoC, S7, Spamhaus, SSH暴力破解, URL表, VNC, 云存储安全, 公开威胁情报, 威胁情报, 封禁列表, 工业控制, 工控安全, 开发者工具, 暴力破解, 生产服务器防护, 网络安全防护, 网络扫描, 自动化防御, 蜜罐, 证书利用