Решил и я раздел себе в гурушнике завести.

На днях мы в очередной раз столкнулись с массовым сканом ботов, который положил базу одного из наших проектов, забив таблицу сессий подчистую. Поясню, что это: уроды с неопределёнными целями (возможно, скан текстов для ИИ, возможно какая-то аналитика, возможно поиск дыр итд) массово регят айпишники в крупных датацентрах, таких как Хуавей, Алибаба, Хецнер, digitalocean итд и запускают сотни и даже тысячи копий своих скриптов гулять по форуму. Этим же грешит и Битерика, списки айпишников которой зачем-то продают за деньги. Обычный ddos-deflate здесь бессилен, т.к. кол-во соединений вписвается в его лимиты. Поэтому я написал к нему "аддон", который назвал EvilBan. Скрипт берёт информацию об айпишниках, находящихся на сайте и проверяет их метаданные. Если в них оказываются строки из конфига запомоенных провайдеров, бот банит всю подсеть. Чтобы всё работало быстрее, я сделал хеширование по уже забаненным подсеткам и агрегацию.

Скачать (склонировать) утилиту можно по ссылке на гитхабе: https://github.com/pukelis/evilban
Для тех, кто не умеет/не может, прилагаю к теме архив в зипе. Проверьте инсталлятор, я конечно его гонял, но у меня серверы прокаченные, с уже установленными прогами.

Под катом кладу ридми, кому интересны подробности)

РИДМИ

EVILBAN — автономная бесплатная система автоматической блокировки спамеров и злоумышленников по диапазонам IP

Любой публичный сервер сегодня находится под постоянным натиском сканеров, ботнетов и спам-роботов.
Они:

• Нагружают железо и портят аналитику
• Могут довести сайт до бана в поисковиках
• Захламляют логи и создают ложную активность
• Массово регистрируют фейки для спама и атак
• Автоматически перебирают пароли, ищут уязвимости

Боты и злоумышленники редко используют одиночные IP — обычно они “приходят” из целых диапазонов и подсетей, часто меняя адреса.

Почему стандартные фильтры бессильны:

• Чёрные списки IP быстро устаревают
• Captcha, вопросы и ручные проверки не работают против массовых атак

Чем помогает EVILBAN:

• Автоматически выявляет и блокирует целые диапазоны, а не только отдельные адреса
• Агрегирует подозрительные подсети, обновляет списки сам, без облаков и подписок
• Работает автономно и бесплатно — никакой передачи данных на сторону

Результат:
Ваши логи и ресурсы защищены, спамеры и brute-force боты улетают в бан ещё до того, как могут навредить или засорить сервис.
Администратор получает реальный контроль над безопасностью, а не вечную гонку за новыми IP.

EVILBAN — это самостоятельный набор bash-скриптов для автоматического выявления, агрегации и блокировки спам- и бот-трафика на вашем сервере с помощью ipset/iptables.
В отличие от частных сервисов (см. пример: https://cliffe.ru/statyi/biterika_spam_resheniye/), EVILBAN работает полностью автономно и не требует ни сторонних API, ни подписок, ни оплаты.

Основные преимущества:

• Полная автономность: не зависит от сторонних сервисов или баз, все списки и обработка хранятся и происходят только у вас.
• Бесплатно и без регистрации: никакой зависимости от коммерческих решений, лицензий и облаков.
• Максимальная автоматизация: все обновления диапазонов, агрегация, обработка логов, реакция на массовые сканирования (ddos-deflate) и формирование блокировок выполняются по расписанию без ручного вмешательства.
• Прозрачность и контроль: все настройки, правила и логи хранятся на сервере, скрипты легко адаптируются под любые нужды.

EVILBAN идеально подходит для хостингов, VPS, игровых и почтовых серверов, форумов, публичных панелей управления — везде, где важно быстро и надёжно блокировать подозрительные диапазоны IP.

Инсталляция, настройка, автоматизация cron и поддержка работы ipset/iptables подробно описаны ниже.

Требуемые системные утилиты:

• grep, head, sed, tail
• awk, sort
• ipset, iptables
• ipcalc
• aggregate, iprange
• python3
• unzip
• ddos-deflate

Установка EVILBAN (автоматическая, через install_evilban.sh)

1. Распакуйте архив.
2. Перейдите в папку с файлами.
3. Выполните:
4. Проверьте права:
   
   Code:

   sudo chmod +x ./install_evilban.sh

5. Запустите инсталлятор:
   
   Code:

   sudo bash install_evilban.sh

В результате:

• Все скрипты и конфиг копируются в /usr/local/evilban
• Логи будут писаться в /var/log/evilban
• Переменные путей выносятся в evilban.conf (см. ниже)
• Cron-задачи для агрегации CIDR и DDoS-deflate сканирования добавятся автоматически.

Структура конфигурации (evilban.conf)
Все пути и важные файлы определяются только здесь:

Code:

PROVIDERS="/etc/evilban_providers.txt"
BLOCKED_RANGES="/var/log/evilban_blocked_ranges.list"
CHECKED_LOG="/var/log/evilban_checked.log"
LOGDIR="/var/log/evilban"

Все скрипты читают эти переменные через

Code:

. "$(dirname "$0")/evilban.conf"

и не содержат жёстко прописанных путей.

Ручная установка (если не используете install_evilban.sh)

Установка зависимостей на Debian/Ubuntu:

Code:

sudo apt-get update
sudo apt-get install -y grep sed ipset iptables ipcalc aggregate iprange python3 unzip

Установка ddos-deflate:

Code:

git clone https://github.com/jgmdev/ddos-deflate.git /usr/local/ddos
cd /usr/local/ddos
sudo bash install.sh

1. Установите все требуемые утилиты (см. выше).
2. Скопируйте .sh-файлы, evilban_providers.txt, evilban.conf и README.txt в /usr/local/evilban
3. Создайте папку для логов:
   
   Code:

   sudo mkdir -p /var/log/evilban

4. Проверьте права:
   
   Code:

   sudo chmod +x /usr/local/evilban/*.sh

5. Установите cron-задачи:

Cron задачи (устанавливаются install_evilban.sh или вручную)

Code:

# Аггрегация диапазонов (раз в сутки)
0 3 * * * root /usr/local/evilban/evilban_cidr_aggregate.sh >> /var/log/evilban/aggregate.log 2>&1

# DDoS-сканирование (каждые 5 минут)
*/5 * * * * root /usr/local/evilban/evilban_deflate_scan.sh >> /var/log/evilban/deflate_scan.log 2>&1

Общее описание работы

• Скрипты работают только с путями и файлами, определёнными в evilban.conf.
• Все логи и временные файлы пишутся в /var/log/evilban.
• Для корректной работы блокировки ipset/iptables должны быть настроены и включены.

Лицензирование:
Код EVILBAN является бесплатным и открыт для модификаций. При распространении кода обязательно указывать авторство оригинального разработчика.

Обратная связь и поддержка
Вопросы и предложения — в Телеграм или на форуме vbsupport.ru/forum

Конец README (версия: 2025-06-10)

Бро, приветствую такое решение и жду продолжения.
Я фотки с голыми бабами будут?

@alan, ага, с Алиной Попой из Пират Репортс

Quote:

Originally Posted by True

Решил и я раздел себе в гурушнике завести.

Я удивлен, что его еще нет у тебя. Давно же пора!
Если бы не стройка, я бы проверил. Придется ждать до осени.
Но продукт очень нужный и важный. Особо в наши "спамерские" прогрессивные времена!
Когда каждый второй - спамер или бот.

@Лис, тут фокус именно на крупняк. Я не делал полную автоматику, т.к. тот же клаудфлайр банить не нужно, хотя на некоторых серверах их айпишников может быть очень много.

@True, на гитхабе лежали какие-то вялые разработки, но в итоге они уже 35 раз устарели.
Сейчас как раз нужно по диапазону, потому что у всех динамические IP и их очень много.