Maltrail - система обнаружения вредоносного трафика, использующая общедоступные (черные) списки, содержащие вредоносные и/или в целом подозрительные следы, а также статические следы, составленные из различных AV-отчетов и настраиваемых пользовательских списков, где след может быть любым, начиная от имени домена (например, zvpprsensinaix .com для вредоносного ПО Banjori), URL-адрес (например, hXXp://109.162.38.120/harsh02.exe для известного вредоносного исполняемого файла), IP-адрес (например, 185.130.5.231 для известного злоумышленника) или значение заголовка HTTP User-Agent (например, sqlmap для автоматического внедрения SQL и инструмента захвата базы данных). Кроме того, он использует (необязательно) расширенные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).

Включено в виде add-on в состав OPNSense. Отлично интегрируется с fail2ban вмвиде источника вредных адресов.

https://github.com/stamparm/maltrail

Демо: https://maltraildemo.github.io/

опубликовано в @gitgate

#net #security #fail2ban