chris/styx
chris/styx
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity

Prototype to domain filtering with Pharos filters

Browse source
This commit is contained in:
Christopher Talib 2020-02-20 14:32:06 +01:00
parent e7421931c2
commit 0f25d6d81c
6 changed files with 3827 additions and 38 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

31
filters/data/domain/cert_infra.regexp Normal file
View file

@ -0,0 +1,31 @@
^.*\.ocsp\.identrust\.com$
^(:?.*\.)?amazontrust\.com$
^o\.ss2\.us$
^(:?.*\.)?wosign\.com$
^(:?.*\.)?ghconduit\.com$
^crl\.omniroot\.com$
^(:?.*\.)?digicert\.com$
^crl\d*\.digicert\.com$
^(?:.*\.)?ocsp-certum\.com$
^(?:.*\.)?comodoca4?\.com$
^(?:.*\.)?comodo\.net$
^(?:.*\.)?incommon-igtf\.org$
^(?:.*\.)?trust-secure\.com$
^(?:.*\.)?incommon-rsa\.org$
^(?:.*\.)?netsolssl\.com$
^(?:.*\.)?globaltrust\.it$
^(?:.*\.)?certum\.pl$
^(?:.*\.)?usertrust\.com$
^(?:.*\.)?trustcenter\.de$
^(?:.*\.)?alphassl\.com$
^(?:.*\.)?startssl\.com$
^(?:.*\.)?verisign\.(?:com|eu|mobi)$
^(?:.*\.)?globalsign\.net$
^(?:.*\.)?verisign\.net$
^(?:.*\.)?thawte\.com$
^(?:.*\.)?geotrust\.com$
^(?:.*\.)?globalsign\.com$
^ocsp\.entrust\.net$
^ocsp\.omniroot\.com$
^ocsp\.msocsp\.com$
^ocsp\.digicert\.com$

1511
filters/data/domain/domain_autoblock.regexp Normal file
View file

File diff suppressed because it is too large Load diff

925
filters/data/domain/domain_blacklist.regexp Normal file
View file

@ -0,0 +1,925 @@
^(?:.*\.)?dotam\.com$
^(?:.*\.)?ndns\.cn$
^(?:.*\.)?site-dns\.com$
^(?:.*\.)?privateemail\.com$
^(?:.*\.)?renewyourname\.net$
^(?:.*\.)?nsone\.net$
^(?:.*\.)?registrar-servers\.com$
^(?:.*\.)?upcloud\.host$
^(?:.*\.)?openprovider\.(?:nl|be|eu)$
^(?:.*\.)?registrar\.(?:nl|be|eu)$
^(?:.*\.)?registrar-servers\.com$
^.*\.whois\.com$
^(?:.*\.)?ip-149-56-180\.net$
^(?:.*\.)?ip-198-50-191\.net$
^(?:.*\.)?ip-198-50-234\.net$
^xicp\.net$
^(?:.*\.)?dnsimple\.com$
^(?:.*\.)?letsencrypt\.org$
^(?:.*\.)?firefox\.com$
^(?:.*\.)?phicdn.\net$
^(?:.*\.)?pki\.goog$
^(?:.*\.)?mozaws\.net$
^(?:.*\.)?dataclub\.(?:eu|biz|info)$
^(?:.*\.)?kmu\.edu\.pk$
.*\.domainrecover\.com$
.*\.msft\.net$
.*\.suspended-domain\.com$
^host\.colocrossing\.com$
^ns\d*.orangewebsite\.com$
^ns\d*.expirationwarning\.net
.*ns\d*\.ndoverdrive\.com$
^ns\d*\.monikerdns\.net$
^.*\.domainowl\.com$
^.*\.ritudega\.eu$
.*ns\d*\.ztomy\.com$
^dns.*\.register\.com$
^ns\d*\.schlund\.de$
^mx\d*\.schlund\.de$
^(?:.*\.)?hosterbox.com
^ns\d*.worldnic\.com$
^.*\.cabotvm\.pt$
^ns\d*\.cyberthreatsinkhole\.com$
^.*\.googledomains\.com$
^ns\d*\.digitalocean\.com$
^ns\d*\.justnameserver\.net$
^mx.*\.mxhichina\.com$
^dns\d*.hichina\.com$
^ns\d*\.sinkhole\.ch$
^ns\d*\.88ming\.net$
^smtpin\.rzone\.de$
^no\.rdns\.ukservers\.com$
^no\.rdns-yet\.ukservers\.com$
^ns\d*\.directnic\.com$
^expired-domain-.*\.directnic\.com$
^ns\d*\.hostmonster\.com$
^ns\d*\.ipnama\.net$
dns\d*\.ip-asia\.com$
ns\d*\.host-care\.com$
^expire\d*\.active-dns\.com$
^mn\d*\.domaincontrol\.com$
^ns\d*\.hostpapa\.com$
^dns\d*\.canaldominios\.com$
^.*\.ns36\.de$
^ns.*\.1and1-dns.(?:de|us|com|org)$
^ns\d*\.dnsbycomodo\.net$
^ns\d*\.ipage-default\.domainparkingserver\.net$
^ns\d*\.ipage\.com$
^ns\d*\.ipstates\.net$
^ns\d*\.no-ip\.com
^exp\d*\.above\.com$
^ns\d*\.above\.com$
^ns\d*\.afternic\.com$
^ns\d*\.webkevlar\.net$
^pdns\d*\.domaincontrol\.com$
^ns\d*\.smartname\.com$
^.*\.dummyns\.com$
^ns\*\..*\.suspended-domain\.com$
^ns\d*\.dynadot\.com$
^ns\d*\.arbor-sinkhole\.net$
^ns\d*\.asertdns\.com$
^ns\d*\.purevpn\.com$
^ns\d*\.metaldns\.com$
.*\.searchreinvented\.com$
^ns\d*\.dsredirection\.com$
^ns\d*\.star-domain\.jp$
^ns\d*\.ht-systems\.ru$
^mx.*\.majordomo\.ru$
^ns.*\.majordomo\.ru$
^ns\d*\.r01\.ru$
^mx\d*\.r01\.ru$
^ns\d*\.expired\.r01\.ru$
^ns\d*\.expired.reg.ru
^nomail\.nic\.ru$
^ns\d*\.inwx\.(?:eu|de|com|net)$
^primary\.sczn\.de$
^secondary\.sczn\.de$
^ns\d*\.netuse\.de$
^mx.*\.ispgateway\.de$
^ns\d*\.entrydns\.net$
^ns.*\.webhostbox\.net$
^ns\d*\.livedns\.co\.uk$
^ns.*\.neustar\.biz$
^ns\d*\.bluehost\.com$
^ns\d*\.dnsmadeeasy\.com$
^ns\d*\.active-dns\.com$
^(?:www\.)?as19557\.net$
^ns.*\.domainsite\.com$
^hinet\.net$
^.*\.namebrightdns\.com$
^.*\.dnspod\.net$
^ns\d*\.changeip\.org$
^.*\.sinkhole\.yourtrap\.com$
^ns\d*\.dnsexit\.com$
^ns\d*\.ibspark\.com$
^ns\d*\.dns\.ne\.jp$
^ns\d*\.freenom\.com$
^park\.i-now\.com$
^park\.i-now\.cn$
^ns\d*\.cloud-book\.net$
^d?ns\d*\.muumuu-domain\.com$
^ns02\.one\.com$
^ns01\.one\.com$
^expired-domain\d*\.onamae\.com$
^ns\d*.*\.name\.com$
^ns\d*\.talahost\.com$
^ns\d*\.abtinweb\.com$
^ns\d*\.he\.net$
^dns\d*\.bigrock\.in$
^ns\d*\.reesearcherss\.com$
^ns\d*\.regway\.com$
^dns\d*\.registrar-servers\.com$
^eforward\d*\.registrar-servers\.com$
^.*\.ns14\.net$
^ns\d*\.pendingrenewaldeletion\.com$
^ns\d*\.51dns\.com$
^ns\d*\.linode\.com$
^ns\d*\.dnsme\.in$
^ns\d*\.hostiran\.net$
^ns\d*\.cloudns\.net$
^ns\d*\.gransy\.com$
^ns\d*\.uniregistrymarket\.link$
^ns\d*\.mailone\.ir$
^.*\.ns\.joker\.com$
^ns\d*\.domain-parking\.info$
^.*.mx\d*\.mailhostbox\.com$
^ns\d*\.sedoparking\.com$
^ns\d*\.monovm\.com$
^.*\.orderbox-dns\.com$
^ns\d*\.gotini\.com$
^ns\d*\.atlantis\.bg$
^ns\d*\.icndns\.net$
^ns\d*\.ds42\.net$
^smx\d*.web-hosting\.com$
^dns\d*\.namecheaphosting\.com$
^ns\*\.cyberthreatsinkhole\.com$
^ns\d*\.microsoftinternetsafety\.net$
^dns\d*\.orangewebsite\.com$
^ns\d*\.hostcontrol\.(?:com|org)$
^ns\d*\.yoursrs\.com$
^ns\d*\.ztomy\.com$
^dns\d*\.securefastserver\.com$
^.*\.ns\.darkbytes\.org$
^.*\.dnspod\.com$
^.*\.ititch\.com$
^.*\.topdns\.com$
^.*\.obox-dns\.com$
^ns\d\.bulletdns\.net$
^ns\d*\.ititch\.com$
^ns\d*\.domaincontrol\.com$
^ns\d*\.mainnameserver\.com$
^ns\d*\.heartinternet\.co\.uk$
^ns.\d*.srv53\.(?:com|net|org)$
^ns\d*\.imena\.com\.ua$
^ns\d*\.ipnames\.net$
^dns\d*.parkpage\.foundationapi\.com$
^.*\.ns\.cloudflare\.com$
^expired-domain\d*\.onamae\.com$
^ns\d*\.muumuu-domain\.com$
^dns\d*\.muumuu-domain\.com$
^ns\d*\.one\.com$
^park\.i-now\.cn$
^park\.i-now\.com$
^please-renew-your-domain-in-www\.22\.cn$
^pk\d*\.22\.cn$
^ns\d*\.alicansevinc\.com$
^ns\d*\.somlb\.com$
^ns\d*\.cashparking\.com$
^ns\d*\.domaincontrol\.com$
^dns\d*\.parkpage\.foundationapi\.com$
^ns\d*\.carbon2u\.com$
^.*\.bitcoin-dns\.hosting$
^ns\d*\.hostgator\.com$
^ns\d*\.qhoster\.net$
^ns\d*\.purevpn\.net$
^ns\d*\.websitewelcome\.com$
^ns\d*\.jafshost\.com$
^ns\d*\.value-domain\.com$
^ns\d*\.transdns\.eu$
^ns\d*\.suspended-for\.spam-and-abuse\.com$
^ns\d*\.suspended-domain\.com$
^(?:ns|mx)\d*\.beget\.(?:com|pro|ru)$
^ns\d*\.reg\.ru$
^ns\d*\.expired\.reg\.ru$
^ns\d*\.firstvds\.ru$
^dns\d*\.simplyway\.net$
^ns\d*\.stratoserver\.net$
^ns.*\.schlundtech\.de$
^ns\d*\.1und1\.de$
^mx\d*\.kundenserver\.de$
^no\.rdns-yet\.ukservers\.com$
^ns\d*\.steeldns\.com$
^dns\d*\.parkpage\.foundationapi\.com$
^ns\d*\.ipchina163\.com$
^smtp\d*\.secureserver\.net$
^mailstore\d*\.secureserver\.net$
^ns-1427\.awsdns-50\.org$
^ns-1876\.awsdns-42.co\.uk$
^ns-703\.awsdns-23\.net$
^ns-331\.awsdns-41\.com$
^ns-885\.awsdns-46\.net$
^ns-1589\.awsdns-06\.co\.uk$
^ns-1424\.awsdns-50\.org$
^ns-182\.awsdns-22\.com$
^\.in-addr\.arpa$
^(?:.*\.)?content\.ad$
^(?:.*\.)?csdn\.net$
^(?:.*\.)?pornpros\.com$
^(?:.*\.)?musicboerse\.com$
^(?:.*\.)?fixya\.com$
^(?:.*\.)?sex\.com$
^(?:.*\.)?thrillophilia\.com$
^(?:.*\.)?photobucket\.com$
^(?:.*\.)?apache\.org$
^(?:.*\.)?quora\.com$
^(?:.*\.)?vnpt\.vn$
^(?:.*\.)?fbcdn\.net$
^(?:.*\.)?addthis\.com$
^(?:.*\.)?addthisedge\.com$
^(?:.*\.)?criteo\.com$
^(?:.*\.)?quantserve\.com$
^(?:.*\.)?linkedin\.com$
^(?:.*\.)?ggpht\.com$
^(?:.*\.)?gravatar\.com$
^(?:.*\.)?cloudflare\.com$
^(?:.*\.)?github\.com$
^(?:.*\.)?yahooapis\.com$
\*\*\*
^pomf\.cat$
^a\.pomf\.cat$
^www\.detik\.com$
^(?:.*\.)?ultravnc\.info$
^(?:.*\.)?uvnc\.com$
^hosted-by\.solarcom\.ch$
^sinkhole\.no-ip\.org$
os-slv-1323817372.us-west-2.elb.amazonaws.com
murik.portal-protection.net.ru
world.rickstudio.ru
^(?:.*\.)?stromoliks\.com$
^(?:.*\.)?battle\.net$
^(?:.*\.)?worldofwarcraft\.com$
^bunndle-ps-lb01-http-to-backends-1752534520\.us-east-1\.elb\.amazonaws\.com$
^gateway\d*\.websitewelcome\.com$
^(?:.*\.)?hotkeysparking\.com$
^(?:.*\.)?cisco\.com$
^(?:.*\.)?oracle\.com$
^(?:.*\.)?ijjimax\.com$
^(?:.*\.)?xunlei\.com$
^(?:.*\.)?sandai\.net$
^(?:\*.*\.)?yixia\.com$
^(?:\*.*\.)?sinaapp\.com$
^(?:\*.*\.)?sinaimg\.cn$
^(?:\*.*\.)?sina\.com\.cn$
^(?:\*.*\.)?iask\.com$
^(?:\*.*\.)?sinaedge\.com$
^(?:.*\.)?geocities\.jp$
^(?:.*\.)?cloins\.com$
^a\.gwas\.perl\.sh$
^ssd3\.ddgg\.cc$
^p2\.winsoft1\.com$
^imp\.install-zone\.com$
^config\.install-zone\.com$
^box18\.110mb\.com$
^dist\.divx\.com$
^www\.110mb\.com$
^imp\.optimum-installer\.com$
^stats\.cloins\.com$
^installer\.divx\.com$
^imp\.myappz03\.com$
^c1\.storagedc\.info$
^dp\.000\.in$
^sn92376\.com$
^ok77548\.com$
^r1\.qa\.getapplicationmy\.info$
^ifastnet-dopa-cname\.com$
^c1\.qa\.getapplicationmy\.info$
^r1\.storagedc\.info$
^down\.winsoft1\.com$
^box19\.110mb\.com$
^old-mta1\.geocities\.jp$
^turkrdns\.com$
^redstation\.co\.uk$
^serversub\.com$
^(?:.*\.)?solvefile\.com$
^(?:.*\.)?solvefile\.com\.s3\.amazonaws\.com$
^(?:.*\.)?mail\.ru$
^(?:.*\.)?xn--80aqjb\.xn--p1ai
^(?:.*\.)?mailru\.com
^(?:.*\.)?xn--h1agb2e\.xn--p1ai
^(?:.*\.)?ppl5usx\.com
^(?:.*\.)?sibirsp\.ru
^(?:.*\.)?ppl-nt\.com
^(?:.*\.)?ammyy\.com$
^ipsec\.us\.vpnintouch\.(?:biz|net)$
^(?:.*\.)?mail\.com$
^(?:.*\.)?gmx\.(?:net|de|com|co\.uk|es|fr)$
^(?:.*\.)?europcar\.de$
^(?:.*\.)?last\.fm$
^(?:.*\.)?swisscom\.ch$
^(?:.*\.)?ename\.(?:net|cn)$
^ppx1\.hotkeysparking\.com$
^(?:.*\.)?wp\.com$
^(?:.*\.)?wordpress\.com$
^(?:.*\.)?127\.0\.0\.1$
^(?:.*\.)?pinterest\.com$
^(?:.*\.)?kugou\.com$
^(?:.*\.)?parked-domain\.org$
^unassigned\.reverse\.tinmok\.com$
^unspecified\.mtw\.ru$
^(?:.*\.)?static\.sparqnet\.net$
^(?:.*\.)?eff\.(?:com|org)$
^(?:.*\.)?trendmicro\.com$
test\.3322\.org\.cn$
^1\.test\.3322\.org\.cn$
^2\.test\.3322\.org\.cn$
^3\.test\.3322\.org\.cn$
^4\.test\.3322\.org\.cn$
^5\.test\.3322\.org\.cn$
^smtp\.sohu\.com$
^mail\.arcor-ip\.de$
^(?:.*\.)?cbox\.ws$
^unknown$
^no-data$
^(?:.*\.)?reddit\.com$
^(?:.*\.)?spotify\.(?:com|ch|de|es|fr|nl|org|se)$
^(?:.*\.)?megashare\.(?:info|sc)$
^(?:.*\.)?hauschka\.com$
^(?:.*\.)?mvd\.ru$
^vhost\.sourceforge\.net$
^(?:.*\.)?strawberryperl\.com$
^whos\.amung\.us$
^(?:.*\.)?fling\.com$
^(?:.*\.)?adsafety\.net$
^(?:.*\.)?creative-serving\.com$
^(?:.*\.)?apnpartners\.com$
^(?:.*\.)?extrimdownloadmanager\.com$
^(?:.*\.)?dmca\.com$
^(?:.*\.)?egocdn\.com$
^(?:.*\.)?rosewholesale\.com$
^(?:.*\.)?criteo\.net$
^(?:.*\.)?socdn\.com$
^(?:.*\.)?laliwaza\.com$
^(?:.*\.)?gammacdn\.net$
^(?:.*\.)?liveclicker\.net$
^(?:.*\.)?bdstatic\.com$
^(?:.*\.)?nr-data\.net$
^(?:.*\.)?dmcdn\.net$
^(?:.*\.)?dailymotion\.com$
^(?:.*\.)?2o7\.net$
^(?:.*\.)?contentabc\.com$
^(?:.*\.)?trafficjunky\.net$
^(?:.*\.)?kissmetrics\.com$
^(?:.*\.)?newrelic\.com$
^(?:.*\.)?nr-data\.com$
^counter\.yadro\.ru$
^de-img1\.ciao\.com$
^api\.mixpanel\.com$
^ads\.trafficjunky\.net$
^(?:.*\.)?contentabc\.com$
^ad\.z5x\.net$
^(?:.*\.)?extreme-dm\.com$
^(?:.*\.)?ciao\.com$
^stats\.apps-update\.com$
^search\.keywordblocks\.com$
^(?:.*\.)?mindspark\.com$
^(?:.*\.)?wajam\.com$
^(?:.*\.)?camads\.net$
^(?:.*\.)?sexad\.net$
^(?:.*\.)?crossrider\.com$
^script\.ioam\.de$
^(?:.*\.)?a-msedge\.net$
^ns1\.exhera\.com$
^ns2\.exhera\.com$
^ns\d+\.oray\.(?:com|net)$
^ns\d+\.orleto\.com$
^(?:.*\.)?pin\.it$
^(?:.*\.)?pornhub\.com$
^(?:.*\.)?phncdn\.com$
^(?:.*\.)?yourporn\.com$
^(?:.*\.)?redtube\.com$
^(?:.*\.)?redtubefiles\.com$
^(?:.*\.)?rubiconproject\.com$
^(?:.*\.)?brightcove\.com$
^(?:.*\.)?mozilla\.(?:org|net|com)$
^(?:.*\.)?vpweb\.com$
^pi\.selfip\.net$
^poison\.selfip\.net$
^centralserver\.gicp\.net$
^js\.miaozhen\.com$
^sc\.liveclicker\.net$
^(?:.*\.)?advconversion\.com$
^networksecurityx\.hopto\.org$
^tycho\.usno\.navy\.mil$
^(?:.*\.)?teamviewer\.com$
^ping3\.dyngate\.com$
^(?:.*\.)?sinkholeredirect\.us$
^(?:.*\.)?aup\.lockeddns\.com
^(?:.*\.)?pool\.ntp\.org$
^(?:.*\.)?yieldmanager\.com$
^(?:.*\.)?adnxs\.com$
^(?:.*\.)?adlooxtracking\.com$
^(?:.*\.)?tudosearch\.com$
^(?:.*\.)?statcounter\.com$
^(?:.*\.)?oclaserver.com$
^(?:.*\.)?hao123img\.com$
^(?:.*\.)?hao123\.com$
^(?:.*\.)?ping\.sogou\.com$
^(?:.*\.)?pinyin\.sogou\.com$
^(?:.*\.)?avast\.com$
^(?:.*\.)?avg\.com$
^hdredirect-lb-399551664\.us-east-1\.elb\.amazonaws\.com$
^adotube-lb-http1-1295093845\.us-east-1\.elb\.amazonaws\.com$
^s3-3-w\.amazonaws\.com$
^(?:.*\.)?cloudfront.net
^(?:.*\.)?postimg\.org$
^(?:.*\.)?imgfarm\.com$
^(?:.*\.)?sinaimg\.cn$
^(?:.*\.)?root-servers\.net$
.*\.168\.192\.in-addr\.arpa$
.*\.16\.172\.in-addr\.arpa$
.*\.127\.in-addr\.arpa$
.*\.10\.in-addr\.arpa$
\d+\.in-addr\.arpa$
^1\.224\.99\.188\.in-addr\.arpa\.?$
^scdc\.worra\.com$
^(?:.*\.)?tbcache\.com$
(?:.*\.)?parkingcrew\.net$
^searchportal\.information\.com$
^(?:.*\.)?icq\.com$
^(?:.*\.)?apple\.com$
^(?:.*\.)?unicode\.org$
^(?:.*\.)?pastebin\.com$
^(?:.*\.)?twitter\.com$
^(?:.*\.)?weather\.com$
^(?:.*\.)?oracle\.com$
^(?:.*\.)?real\.com$
^www\.sogou\.com$
^(?:.*\.)?opera\.com$
^(?:.*\.)?dtddn\.com$
^(?:.*\.)?oss-cn-beijing\.aliyuncs\.com$
^(?:.*\.)?chinaalloyfoundry\.com$
^(?:.*\.)?ggwan\.com$
^travel\.syd\.com\.cn$
^(?:.*\.)?ppcwarez\.org$
^(?:.*\.)?sina\.com\.cn$
^(?:.*\.)?sina\.com$
^(?:.*\.)?cnn\.com
^(?:.*\.)?turner\.com
^(?:.*\.)?disqus\.com
^(?:.*\.)?outbrain\.com
^(?:.*\.)?wikimedia\.org$
^(?:.*\.)?wikipedia\.(?:de|org)$
^(?:.*\.)?odnoklassniki\.ru$
^(?:.*\.)?bluecoat\.com$
^(?:.*\.)?name-services\.com$
^(?:.*\.)?appspot\.com$
^(?:.*\.)?delivery.first-impression\.com$
^(?:.*\.)?mediafire\.com$
^(?:.*\.)?weebly\.com$
^.\.freewebhostingarea\.com$
^return\.uk\.domainnamesales\.com$
^api\.opencandy\.com$
^www\.weleda\.de$
^(?:.*\.)?dropbox\.com$
^(?:.*\.)?dropboxusercontent\.com$
^(?:.*\.)?hotfile\.com$
^$
\[
\]
^domain$
^mail$
^www$
^web$
^(?:.*\.)?subdomain\.com$
^login\.icq\.com$
^(?:.*\.)?ccgslb\.net$
^(?:.*\.)?ccgslb\.com\.cn$
^(?:.*\.)?chinacache\.net$
^ns1\.china\.com$
^ns2\.china\.com$
^ns1\.3322\.net$
^ns1\.oray\.net$
^ns1\.freeavailabledomains\.com$
^(?:.*\.)?cfwudao\.com$
^mailstore.\.secureserver\.net$
^loginpreview\.login\.secureserver\.net$
(?:.*\.)?51\.la$
^web2\.51la\.my-free\.info$
.*\.cnzz\.com$
^cnzz\.mmstat\.com$
^pcookie\.split\.cnzz\.com$
^(?:.*\.)?hugedomains\.com$
^(?:.*\.)?http\.com$
^(?:.*\.)?duba\.net$
^(?:.*\.)?alipay\.com$
^(?:.*\.)?viagenie\.ca$
^stun..\.sipphone\.com$
^stun\.qvod\.com$
^track\.qvod\.com$
^agent\.qvod\.com$
^stun\.12voip\.com$
^stun.\.ams-ix\.net$
^stun.\.faktortel\.com\.au$
^stun.\.tele33\.de$
^stun\.1und1\.de$
^stun.\.voiceeclipse\.net$
^stun.\.1und1\.de$
^stun.\.ideasip\.com$
^stun.\.instantnow\.jp$
^stun.\.iol\.unh\.edu$
^stun.\.iptel\.org$
^stun\.2talk\.co\.nz$
^stun...\.aebc\.com$
^stun\.actionvoip\.com$
^stun\.callwithus\.com$
^stun\.easybell\.de$
^stun\.easyvoip\.com$
^stun\.ekiga\.net$
^stun\.faktortel\.com\.au$
^stun\.freecall\.com$
^stun\.freevoipdeal\.com$
^stun\.gmx\.de$
^stun\.gmx\.net$
^stun\.ideasip\.com$
^stun\.internetcalls\.com$
^stun\.intervoip\.com$
^stun\.iol\.unh\.edu$
^stun\.iptel\.org$
^stun\.jumblo\.com$
^stun\.justvoip\.com$
^stun\.lowratevoip\.com$
^stun\.myvoiptraffic\.com$
^stun\.noc\.ams-ix\.net$
^stun\.nonoh\.net$
^stun\.poivy\.com$
^stun\.powervoip\.com$
^stun\.rynga\.com$
^stun\.schlund\.de$
^stunserver\.org$
^stun\.sipdiscount\.com$
^stun\.sipgate\.net$
^stun\.smartvoip\.com$
^stun\.smslisto\.com$
^stun\.sparvoip\.de$
^stun\.stunprotocol\.org$
^stun\.telbo\.com$
^stun\.voicetrading\.com$
^stun\.voip\.aebc\.com$
^stun\.voiparound\.com$
^stun\.voipbuster\.com$
^stun\.voipbusterpro\.com$
^stun\.voipcheap\.com$
^stun\.voipdiscount\.com$
^stun\.voipgain\.com$
^stun\.voipraider\.com$
^stun\.voipstunt\.com$
^stun\.voipwise\.com$
^stun\.voxgratia\.org$
^stun\.webcalldirect\.com$
^stun\.zoiper\.com$
^vstun\.po.\.actionvoip\.com$
^vstun\.po.\.easyvoip\.com$
^vstun\.po.\.jumblo\.com$
^vstun\.po.\.rynga\.com$
^vstun\.po.\.telbo\.com$
^vstun\.po.\.voipblast\.com$
^vstun\.po.\.voipinfocenter\.com$
^www\.stunserver\.org$
^(?:.*\.)?icq\.net$
^(?:.*\.)?virtualearth\.net$
^58x158x177x98\.ap58\.ftth\.ucom\.ne\.jp$
^(?:.*\.)?clientshostname\.com$
^vultr\.com$
^no-reverse-dns-configured\.com$
^rdns\d*\.ikcoltd\.com$
^reverse-dns\.chicago$
^.*\.static\.swiftway\.net$
^no-reverse-dns-configured\.com$
^parkingpage\.namecheap\.com$
^unknown\.servernap\.com$
^unknown\.scnet\.net$
^customer\.underhost\.com$
^vps\.by\.yhsrv\.com$
^freehost\.com\.ua$
^customer\.sharktech\.net$
^balticservers\.eu$
^hn\.kd\.ny\.adsl$
^customer\.worldstream\.nl$
^earthlinkiq\.com$
^hosted-by\.instantdedicated\.com$
^hosted-by\.emgoldexnet\.com$
^unknown\.carohosting\.net$
^linode\.hosted\.sensorynetworks\.com$
^hosting\.servegame\.com$
^hosted-by\.reliablesite\.net$
^server\.fadaeyat\.com$
^server\.neogratis\.net$
^dynamic\.vdc\.vn$
^hosted-by\.dimline\.org$
^hosted\.by\.beneluxservers$
^hosted-by\.scenepirat\.to$
^hosted-by\.twink0r\.net$
^hosted-by\.rockbelthost\.com$
^hosted-by\.ecatel\.net$
^hosted-by\.synwebhost\.net$
^hosted-by\.securefatserver\.com$
^hkmail\.worria\.com$
^hosted-by\.yourserver\.se$
^hkhdc\.laws\.ms
^static\.vdc\.vn$
^unassigned\.quadranet\.com$
^hosted-by\.ihc\.ru$
^dedicated\.koddos\.com$
^hosted-by\.securefastserver\.com$
^hosted-by\.breezle\.net$
^parking\.bluehost\.com$
^customer\.krypt\.com$
^customer\.vpls\.net$
^unassigned\.psychz\.net$
^host\.colocrossing\.com$
^domain\.not\.configured$
^hosted-by\.imhoster\.net$
^(?:.*\.)?parking\.local$
^we\.love\.servers\.at\.ioflood\.com$
^hosted-by\.leaseweb\.com$
^host\.coloup\.com$
^.*\.where\.secureserver\.net$
^s3-external-3\.amazonaws\.com$
^s3-1-w\.amazonaws\.com$
^s3-1\.amazonaws\.com$
^s3\.amazonaws\.com$
^unassigned\.calpop\.com$
^error404\.000webhost\.com$
^redirect\.main-hosting\.com$
^ns\d*\.hostinger\.com\.ua$
^error\.hostinger\.eu$
^unassigned\.userdns\.com$
^localhost$
^isatap$
^luser-pc$
^arcor-ip\.net$
^(?:.*\.)?fastly\.net$
^(?:.*\.)?symantec\.(?:com)$
^(?:.*\.)?lycos\.(?:it|com)$
^(?:.*\.)?nexon\.net$
^(?:.*\.)?facebook\.(?:com|net)$
^api.\.wipmania\.com$
^api\.wipmania\.com$
^(?:.*\.)?yahoo\.(?:com|de|co\.uk)$
^(?:.*\.)?yahoodns\.net$
^(?:.*\.)?yahoo\.co\.jp$
^(?:.*\.)?aol\.com$
^(?:.*\.)?yandex\.(?:ru|nu|co\.il|kz|com\.ua|ua|by|az)$
^(?:.*\.)?xn--d1acpjx3f\.xn--p1ai$
^(?:.*\.)?db24\.de$
^(?:.*\.)?postbank\.de$
.*baning\.postban\.de$
.*banking\.postbank\.de.$
^(?:.*\.)?touchclarity\.com$
^(?:.*\.)?deutsche-bank\.de$
^(?:.*\.)?hsbc\.co\.uk$
^(?:.*\.)?hsbc\.com$
^(?:.*\.)?member-hsbc-group\.com$
^(?:.*\.)?bing\.(?:com|de|co\.uk)$
^(?:.*\.)?ivwbox\.de$
^(?:.*\.)?360safe\.com$
^(?:.*\.)?360\.cn$
^(?:.*\.)?opthw\.xdwscache\.speedcdns\.com$
^(?:.*\.)?vittaliacdn\.com$
^(?:.*\.)?cloudcdn\.net$
^(?:.*\.)?fileorgcdn\.com$
^(?:.*\.)?telechargercdn\.com$
^(?:.*\.)?file\.org$
^(?:.*\.)?microsoft\.com$
^(?:.*\.)?msn\.com$
^(?:.*\.)?msn\.de$
^(?:.*\.)?live\.com$
^(?:.*\.)?msftncsi\.com$
^(?:.*\.)?footprint\.net$
^(?:.*\.)?nsatc\.net$
^(?:.*\.)?msecnd\.net$
^(?:.*\.)?windows\.com$
^(?:.*\.)?windowsupdate\.com$
^(?:.*\.)?adobe\.com$
^(?:.*\.)?omtrdc\.net$
^(?:.*\.)?cachefly\.net$
^(?:.*\.)?sun\.com$
^(?:.*\.)?atdmt\.com$
^(?:.*\.)?example\.(?:com|net|org)$
^(?:.*\.)?test\.com$
^(?:.*\.)?abmr\.net$
^(?:.*\.)?akadns\.net$
^(?:.*\.)?akamaitech\.net$
^(?:.*\.)?akamaitechnologies\.com$
^(?:.*\.)?akamaiedge.net
^(?:.*\.)?adobesuit\.com$
^(?:.*\.)?akamai\.net$
^(?:.*\.)?akamai\.com$
^(?:.*\.)?edgesuite\.net$
^(?:.*\.)?scorecardresearch\.com$
^(?:.*\.)?akamaihd.net$
^(?:.*\.)?jquery\.com$
^(?:.*\.)?gvt1\.com$
^(?:.*\.)?googleapis\.com$
^(?:.*\.)?googlemail\.com$
^(?:.*\.)?googlehosted\.com$
^(?:.*\.)?googlemaps\.com$
^(?:.*\.)?googlesyndication\.com$
^(?:.*\.)?googleusercontent\.com$
^(?:.*\.)?googlecode\.com$
^(?:.*\.)?googleadservices\.com$
^(?:.*\.)?googletagservices\.com$
^(?:.*\.)?googletagmanager\.com$
^(?:.*\.)?gmodules\.com$
^(?:.*\.)?google\.(?:de|net|tm|cn|eu|es|pl|lv|ru|com|com\.br|com\.ph|com\.pl|co\.uk|co\.kr|com\.ar|com\.hk|co\.nz|co\.kr|ua|us)$
^(?:.*\.)?gmail\.com$
^(?:.*\.)?gstatic\.com$
^(?:.*\.)?golang\.org$
^(?:.*\.)?googlegroups\.com$
^(?:.*\.)?googlevideo\.com$
^(?:.*\.)?google-analytics\.com$
^(?:.*\.)?googel\.com$
^(?:.*\.)?withgoogle\.com$
^(?:.*\.)?youtube\.com$
^(?:.*\.)?youtu\.be$
^(?:.*\.)?ytimg\.com$
^(?:.*\.)?yimg\.com$
^(?:.*\.)?maxfile\.ro$
^(?:.*\.)?qh-lb\.com$
^(?:.*\.)?beike\.cn$
^(?:.*\.)?qihoo\.com$
^(?:.*\.)?rising\.com\.cn$
^(?:.*\.)?ccgslb\.com$
^(?:.*\.)?kingsoft\.com$
^(?:.*\.)?eset\.com\.cn$
^(?:.*\.)?kaspersky\.com$
^(?:.*\.)?tlgslb\.com$
^(?:.*\.)?trendmicro\.com\.cn$
^(?:.*\.)?pc120\.com$
^(?:.*\.)?jiangmin\.com$
^(?:.*\.)?eset\.com$
^(?:.*\.)?wscdns\.com$
^(?:.*\.)?nai\.com$
^(?:.*\.)?fastcdn\.com$
^(?:.*\.)?rackcdn\.com$
^(?:.*\.)?explabs\.net$
^(?:.*\.)?kaspersky-labs\.com$
^(?:.*\.)?fwdns\.net$
^(?:.*\.)?fwcdn\.net$
^(?:.*\.)?esetclub\.com$
^(?:.*\.)?em-att-idns\.net$
^(?:.*\.)?att-idns\.net$
^(?:.*\.)?netdna-cdn\.com$
^(?:.*\.)?virustotal\.com$
^(?:.*\.)?bodis\.com$
^(?:.*\.)?mail\.ru$
^com-utorrent-prod-bench-290894750\.us-east-1\.elb\.amazonaws\.com$
^(?:.*\.)?bittorrent\.com$
^(?:.*\.)?utorrent\.com$
^(?:.*\.)?bitcomet\.(?:net|com|org)$
^dnsseed\.darkcoin\.qa$
^seed\.dogecoin\.com$
^seed\.dogechain\.info$
^seed\.mophides\.com$
^(?:.*\.)?f2pool\.com$
^(?:.*\.)?ltcpool\.org$
^(?:.*\.)?koin-project\.com$
^(?:.*\.)?litecoinpool\.org$
^(?:.*\.)?litecointools\.com$
^(?:.*\.)?ltc\.xurious\.com$
^(?:.*\.)?novaco\.in$
^(?:.*\.)?novacoin\.ru$
^(?:.*\.)?weminemnc\.com$
^(?:.*\.)?potcoin\.info$
^(?:.*\.)?seed\.bitcoin\.jonasschnelli\.ch$
^(?:.*\.)?seed\.bitcoinstats\.com$
^(?:.*\.)?seed\.mainnet\.freicoin\.pw$
^(?:.*\.)?seeds\.bitcoin\.open-nodes\.org$
^(?:.*\.)?dnsseed\.bluematt\.me$
^(?:.*\.)?seed\.bitcoin\.sipa\.be$
^(?:.*\.)?seed\.bitnodes\.io$
^(?:.*\.)?dnsseed\.bitcoin\.dashjr\.org$
^(?:.*\.)?infernopool\.com$
^(?:.*\.)?clevermining\.com$
^(?:.*\.)?bitcoin\.cz$
^(?:.*\.)?wemineltc\.com$
^(?:.*\.)?showip\.net$
^(?:.*\.)?dnswatch\.info$
^(?:.*\.)?ip-addr\.es$
^(?:.*\.)?ipinfodb\.com$
^(?:.*\.)?iptrackeronline\.com$
^(?:.*\.)?ip2location\.com$
^(?:.*\.)?myexternalip\.com$
^(?:.*\.)?wordpress\.com$
^(?:.*\.)?whatismyip\.(?:com|ca|org)$
^(?:.*\.)?what-is-my-ip\.net$
^(?:.*\.)?showmyip\.ws$
^(?:.*\.)?whatismyipaddress\.com$
^(?:.*\.)?icanhazip\.com$
^(?:.*\.)?showmyipaddress\.com$
^(?:.*\.)?whatismyip\.com$
^(?:.*\.)?cmyip\.com$
^ipaddress\.com$
^api\.ipaddress\.com$
^.*\.ipaddress\.com$
^whatismyip\.akamai\.com$
^whatismyip\.everdot\.org$
^whatismyipaddress\.com$
^(?:.*\.)?ipaddrs\.com$
^(?:.*\.)?get-myip\.com$
^(?:.*\.)?checkip\.org$
^checkip\.dyndns\.org$
^checkip\.dyndns\.com$
^(?:.*\.)?checkip\.org$
^www\.noip\.com$
^www\.no-ip\.info$
^freedns\.no-ip\.com$
^www\.no-ip\.org$
^www\.dyns\.be$
^www\.opendns\.be$
^www\.homeip\.net$
^free\.domain\.name$
^dyn\.com$
^www\.dnsserv\.org$
^dnsserv\.org$
^www\.no-ip\.biz$
^www\.no-ip\.com$
^www\.ddns\.info$
^(?:.*\.)?\.asn.cymru.com
^(?:.*\.)?w3\.org$
^login\.ubuntu\.com$
^(?:.*\.)?fastclick\.net$
^(?:.*\.)?hotmail\.com$
^www\.web\.de$
^blogx\.sina\.com\.cn$
^blog\.sina\.com\.cn$
^(?:.*\.)?enom\.com$
^(?:.*\.)?bit\.ly$
^(?:.*\.)?doubleclick\.net$
^(?:.*\.)?edgekey\.net$
^(?:.*\.)?footprint\.net$
^(?:.*\.)?akamaiedge\.net$
^http$
^https$
^(?:.*\.)?java\.com$
^(?:.*\.)?iq6download\.com$
^(?:.*\.)?edgecastcdn\.net$
^(?:.*\.)?norton\.com$
^(?:.*\.)?symantecliveupdate\.com$
^(?:.*\.)?symcd\.com$
^(?:.*\.)?symcb\.com$
^(?:.*\.)?symantec\.d4p\.net$
^(?:.*\.)?installiq\.com$
^hsbc\.tcliveeu\.com$
^(?:.*\.)?maxmind\.com$
^(?:.*\.)?godaddy\.com$
^(?:.*\.)?imgur.com$
^(?:.*\.)?public-trust\.com$
^(?:.*\.)?msecnd\.net$
^(?:.*\.)?jomodns\.com$
^(?:.*\.)?baidu\.com$
^(?:.*\.)?xqon\.cn$
^(?:.*\.)?xuxule\.com$
^(?:.*\.)?baidustatic\.com$
^(?:.*\.)?shifen\.com$
^(?:.*\.)?media\.net$
^(?:.*\.)?qq\.com$
^(?:.*\.)?llnwd\.net$
^(?:.*\.)?hsbc\.co\.uk$
^(?:.*\.)?member-hsbc-group\.com$
^(?:.*\.)?atdmt\.com$
^(?:.*\.)?macromedia\.com$
^(?:.*\.)?gtimg\.cn$
^(?:.*\.)?cachecn\.com$
^(?:.*\.)?qnpic\.com$
^(?:.*\.)?db\.com$
^(?:.*\.)?ups\.com$
^(?:.*\.)?cloudflare\.net$
^(?:.*\.)?spamhaus\.org$
^(?:.*\.)?spamh\.com$
^(?:.*\.)?abuseat\.org$
^(?:.*\.)?spamcop\.net$
^(?:.*\.)?sorbs\.net$
^(?:.*\.)?njabl\.org$
^(?:.*\.)?completewhois\.com$
^(?:.*\.)?countries\.nerd\.dk$
^(?:.*\.)?dnsbl\.manitu\.net$
^(?:.*\.)?senderscore\.com$
^wpad$
^(?:.*\.)?gulfup\.com$
^(?:.*\.)?mcast\.net$
^(?:.*\.)?lynchpin\.com$
^(?:.*\.)?lypn\.com$
^(?:.*\.)?lypn\.com$
^(?:.*\.)?myip\.ru$
^(?:.*\.)?lxdns\.com$
^(?:.*\.)?cdn20\.com$
^(?:.*\.)?cnccdn\.com$
^(?:.*\.)?videosz\.com$
^(?:.*\.)?sftcdn\.net$
^(?:.*\.)?v0cdn\.net$
^(?:.*\.)?v2cdn\.net$
^(?:.*\.)?updatestarcdn\.com$
^(?:.*\.)?ptvcdn\.net$
^cdn\.dsultra\.com$
^(?:.*\.)?server\.com$

1288
filters/data/domain/wildcard_blacklist.regexp Normal file
View file

File diff suppressed because it is too large Load diff

40
filters/main.go
View file

@ -2,10 +2,12 @@ package filters
import (
"bufio"
"fmt"
"io/ioutil"
"net"
"os"
"path/filepath"
"regexp"
"runtime"
"github.com/sirupsen/logrus"
@ -25,8 +27,8 @@ func RunIPFilters(ip net.IP) bool {
logrus.Warn("filters#ReadDir#ipv4", err)
}
for _, name := range sliceIPv4 {
f, err := os.OpenFile(path+name.Name(), 1, 0644)
for _, file := range sliceIPv4 {
f, err := os.OpenFile(path+file.Name(), 1, 0644)
if err != nil {
logrus.Warn("filters#OpenFile#", err)
}
@ -51,13 +53,31 @@ func RunIPFilters(ip net.IP) bool {
return false
}
// Check the version of the IP address (IPv4 or IPv6).
func checkIPversion(ip string) (string, bool) {
if net.ParseIP(ip).To4() != nil {
return "IPv4", true
} else if net.ParseIP(ip).To16() != nil {
return "IPv6", true
} else {
return "", false
// RunDomainFilters run filters on a targeted domain.
func RunDomainFilters(domain string) bool {
path := basepath + "/data/domain/"
sliceDomain, err := ioutil.ReadDir(path)
if err != nil {
logrus.Warn("filters#ReadDir#domains", err)
}
for _, file := range sliceDomain {
f, err := os.OpenFile(path+file.Name(), 1, 0644)
if err != nil {
logrus.Warn("filters#OpenFile#", err)
}
scanner := bufio.NewScanner(f)
for scanner.Scan() {
r, err := regexp.Compile(scanner.Text())
if err != nil {
logrus.Warn("filters#Compile#", err)
}
if r.MatchString(domain) {
fmt.Println("##### match:", domain)
return false
}
}
}
return true
}

70
main.go
View file

@ -89,19 +89,24 @@ func certstreamRoutine(stream chan jsonq.JsonQuery, errStream chan error, conn *
case jq := <-stream:
if data, err := models.ExtractCertFromStream(jq); err == nil {
rawNode := models.WrapCertStreamData(*data)
models.SaveCertStreamRaw("raw_certstream.json", rawNode)
certNode := models.BuildCertNode(rawNode)
models.SaveCertNode("cert_nodes.json", certNode)
mainNode := models.BuildNode("node", "certstream", certNode.ID)
models.SaveNode("nodes.json", mainNode)
edge := models.BuildEdge("certstream", rawNode.ID, mainNode.ID)
models.SaveEdge(edge)
edge = models.BuildEdge("certstream", mainNode.ID, certNode.ID)
models.SaveEdge(edge)
allDomains := data.Data.LeafCert.AllDomains
saveSingleValues(conn, "certstream", "domain", certNode.ID, allDomains)
for _, domain := range allDomains {
if filters.RunDomainFilters(domain) {
rawNode := models.WrapCertStreamData(*data)
models.SaveCertStreamRaw("raw_certstream.json", rawNode)
certNode := models.BuildCertNode(rawNode)
models.SaveCertNode("cert_nodes.json", certNode)
mainNode := models.BuildNode("node", "certstream", certNode.ID)
models.SaveNode("nodes.json", mainNode)
edge := models.BuildEdge("certstream", rawNode.ID, mainNode.ID)
models.SaveEdge(edge)
edge = models.BuildEdge("certstream", mainNode.ID, certNode.ID)
models.SaveEdge(edge)
saveSingleValues(conn, "certstream", "domain", certNode.ID, domain)
}
}
}
case err := <-errStream:
@ -181,18 +186,29 @@ func shodanRoutine(client *shodan.Client, shodanChan chan *shodan.HostData, conn
if !filters.RunIPFilters(shodanNode.Data.IP) {
fmt.Println("##### not in filters", shodanNode.ID)
hostnames := shodanNode.Data.Hostnames
var hostNotInFilters, domainNotInFilters bool
if len(hostnames) != 0 {
saveSingleValues(conn, "shodan_stream", "hostname", shodanNode.ID, hostnames)
for _, hostname := range hostnames {
hostNotInFilters = filters.RunDomainFilters(hostname)
if hostNotInFilters {
saveSingleValues(conn, "shodan_stream", "hostname", shodanNode.ID, hostname)
}
}
}
domains := shodanNode.Data.Domains
if len(domains) != 0 {
saveSingleValues(conn, "shodan_stream", "domain", shodanNode.ID, domains)
for _, domain := range domains {
domainNotInFilters = filters.RunDomainFilters(domain)
saveSingleValues(conn, "shodan_stream", "domain", shodanNode.ID, domain)
}
}
if domainNotInFilters && hostNotInFilters {
models.SaveShodanNode("raw_shodan.json", shodanNode)
node := models.BuildNode("shodan", "shodan_stream", shodanNode.ID)
models.SaveNode("nodes.json", node)
edge := models.BuildEdge("shodan", shodanNode.ID, node.ID)
models.SaveEdge(edge)
}
models.SaveShodanNode("raw_shodan.json", shodanNode)
node := models.BuildNode("shodan", "shodan_stream", shodanNode.ID)
models.SaveNode("nodes.json", node)
edge := models.BuildEdge("shodan", shodanNode.ID, node.ID)
models.SaveEdge(edge)
} else {
fmt.Println("is akamai", shodanNode.Data.IP)
}
@ -205,14 +221,12 @@ func shodanRoutine(client *shodan.Client, shodanChan chan *shodan.HostData, conn
}
// helpers
func saveSingleValues(brokerConn *kafka.Conn, source string, datatype string, originNodeID string, values []string) {
for _, value := range values {
domainNode := models.BuildNode(source, datatype, value)
models.SaveNode("nodes.json", domainNode)
if domainNode.Type == "domain" || domainNode.Type == "hostname" {
broker.SendEventToKafka(brokerConn, *domainNode)
}
edge := models.BuildEdge(source, originNodeID, domainNode.ID)
models.SaveEdge(edge)
func saveSingleValues(brokerConn *kafka.Conn, source string, datatype string, originNodeID string, values string) {
domainNode := models.BuildNode(source, datatype, values)
models.SaveNode("nodes.json", domainNode)
if domainNode.Type == "domain" || domainNode.Type == "hostname" {
broker.SendEventToKafka(brokerConn, *domainNode)
}
edge := models.BuildEdge(source, originNodeID, domainNode.ID)
models.SaveEdge(edge)
}