Pure AcetoneJan 8

**Maltrail** — это система обнаружения вредоносного сетевого трафика, основанная на анализе огромного числа «следов» известных угроз и применении эвристик для поиска новых.
#Maltrail #NetworkSecurity #InfoSec

🛡 **Что такое Maltrail?**
Это инструмент, который работает как охотник за трекерами: анализирует сетевой трафик в поисках #IoC — индикаторов компрометации. Он проверяет домены, URL, IP-адреса и заголовки (например, *User-Agent*) по публичным блэклистам (более 70 источников — #AbuseIPDB, #AlienVault, #Phishtank) и по статической базе данных (тысячи записей о #Malware и #APT-группах). Дополнительно используются эвристические методы для выявления подозрительной активности.
#ThreatDetection #CyberSecurity

🏗 **Как устроена архитектура?**
Система состоит из трёх ключевых компонентов:

· **Sensor** — запускается на узле мониторинга (например, сервер с зеркалированием трафика), анализирует пакеты и ищет совпадения со «следами». Требуются root-права.
#NetworkMonitoring

· **Server** — принимает и хранит события от сенсоров, предоставляет API и веб-интерфейс для отчётов. Может работать на той же машине, что и сенсор.
#SIEM

· **Client** — веб-интерфейс для просмотра отчётов. Реализован по принципу «толстого клиента»: вся обработка данных происходит в браузере, что позволяет отображать огромные объёмы событий.
#WebUI #BigData

🚀 **Быстрый старт (основные шаги)**

Для Ubuntu/Debian выполните:

1. Установка зависимостей

```
sudo apt-get install git python3 python3-pip libpcap-dev
sudo pip3 install pcapy-ng
```

2. Клонирование репозитория

```
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
```

3. Запуск сенсора

```
sudo python3 sensor.py
```

4. В новом терминале — запуск сервера

```
python3 server.py
```

После запуска веб-интерфейс будет доступен по адресу
[http://127.0.0.1:8338](http://127.0.0.1:8338) (логин: **admin**, пароль: **changeme!**).
#SelfHosted #OpenSource

✨ **Ключевые возможности**

· **Обнаружение угроз** — выявляет известные угрозы через блэклисты и потенциально новые с помощью эвристик.
#ThreatHunting

· **Гибкость развёртывания** — можно использовать только сенсор для локального логирования или полную систему с сервером и веб-интерфейсом. Доступен #Docker-образ.

· **Пассивный мониторинг** — обычно работает через зеркалирование трафика (SPAN-порт), не вмешиваясь в работу сети.
#PassiveMonitoring

· **Лёгкий веб-интерфейс** — отчёты формируются прямо в браузере, снижая нагрузку на сервер.
#Performance

🔗 Репозиторий: [https://github.com/stamparm/maltrail](https://github.com/stamparm/maltrail)

Teddy / Domingo (🇨🇵/🇬🇧)Dec 15
Signaler les #IP malveillantes détectées par #Cloudflare à #AbuseIPDB
C’est la question que je me suis posée il y a quelques semaines : comment est-il possible, via une licence Cloudflare gratuite, de récupérer les #alertes de #sécurité du #parefeu afin de les reporter vers la plateforme AbuseIPDB, qui centralise un très grand nombre d’incidents de sécurité ?
https://www.geeek.org/abuseipdb-cloudflare/
Signaler les IP malveillantes détectées par Cloudflare à AbuseIPDB

Exploitez Cloudflare et l’API GraphQL avec un script Python pour analyser le pare-feu et signaler les IP à AbuseIPDB. Découvrez comment.

Geeek
Jack Yan (甄爵恩)Sep 21, 2025
Morning task: going through the logs and #AbuseIPDB to see if we were scraped or attacked overnight. #Publishing in 2025.
Jack Yan (甄爵恩)Sep 21, 2025
These IP addresses are all #Google user content ones—and are suspicious, hitting Autocade more than the norm. (We have already blocked even bigger offenders.) As they are Google, I don’t trust them. #AbuseIPDB has all three. They aren’t Googlebot.
Show threadteufel100😈Sep 4, 2025
Nachdem das jetzt funktioniert, hat wer Interesse an dem #OSSEC Active-Response-Script, welches IPs auf eine Firewall-Blockliste schreibt und die dann auch an #AbuseIPDB meldet? Ich müsste es zwar noch zu modifizieren, dass da keine Keys drin sind, aber ich könnte das schon veröffentlichen.
teufel100😈Sep 4, 2025

Cappuccino!

#wiegehtesdir

Ich freue mich gerade, dass mein #OSSEC Active Response Script soweit funktioniert und jetzt die IPs, die geblockt werden, auch an #AbuseIPDB sendet.

In zwei Wochen darf ich einem Kunden auf seinen Windows10 Laptop Linux installieren, allerdings nur, wenn es wirklich kein Update auf Windows11 gibt. Als ich das letzte Mal geschaut hatte, war sein Laptop noch nicht supportet, vielleicht ist er es ja jetzt, ansonsten ist es dann ein Linux System ;).

teufel100😈Sep 4, 2025
So, mein #OSSEC Script sendet jetzt auch an #AbuseIPDB ---> https://www.abuseipdb.com/user/234373
teufel100😈Sep 3, 2025
So, mal sehen, ob das so funktioniert, wie ich es mir vorstelle mit der Meldung bei #AbuseIPDB über Ossec. Brauche jetzt nur ne Ossec-Meldung ;)
Gonçalo RibeiroAug 24, 2025

I'm now reporting to #AbuseIPDB IPs seen trying to log into my SSH #honeypot . ~300 to ~500 reports per day. I'm reporting an attacking IP at most once every 15 minutes.

To where else can I/should I report these IPs?

Paralhax 👾Jul 7, 2025

It seems there was some kind of accident at AbuseIPDB.

Good luck, folks.

#abuseipdb
#coffee
#IoC
#threatintel