romainmarcoux / malicious-ip

Introduction **[FR]** • Agrégation de listes d'adresses IP malveillantes scindée en fichiers de 131 072 entrées au maximum pour être intégrées dans des pare-feux : Fortinet **__FortiGate__**, Palo Alto, pfSense, OPNsense, IPtables ... • Adresses IP malveillantes de type **scanners** et **bruteforce**, donc à bloquer **UNIQUEMENT** en **entrée** : dans le sens **WAN > LAN** • Adresses IP ordonnées en fonction du nombre de sources dans lesquelles elles apparaissent (IP malveillantes apparaissant dans le plus de sources dans le premier fichier full-aa.txt) • Mise à jour toutes les **heures** Fichiers à utiliser (liens dans la partie "Links" ci-dessous) : • full-aa.txt : 131 072 adresses IP les plus malveillantes • full-a\*.txt : toutes les adresses IP malveillantes en fichiers de 131 072 IP (pour FortiOS 7.4.4) • malicious-ip-by-country/full-\*.txt : toutes les adresses IP malveillantes d'un pays (si vous avez besoin du fichier d'un pays manquant, envoyez moi un message) Liste blanche : les adresses IP des services suivants sont retirées des fichiers : Google Bot, Bing Bot. **[EN]** • Aggregation of lists of malicious IP addresses split into files of a maximum of 131,072 entries to be integrated into firewalls: Fortinet **__FortiGate__**, Palo Alto, pfSense, OPNsense, IPtables ... • Malicious IP addresses such as scanners and bruteforce, therefore **ONLY** to be blocked in the **WAN > LAN** direction • IP addresses ordered by the number of sources they appear in (malicious IPs appearing in most sources in the first file full-aa.txt) • Updated every **hour** Files to use (links in the "Links" section below): • full-aa.txt: 131,072 most malicious IP addresses • full-a\*.txt: all malicious IP addresses in 131,072 IP files (for FortiOS 7.4.4) • malicious-ip-by-country/full-\*.txt : all malicious IP addresses of a country (if you need a missing country file, send me a message) Whitelist: IP addresses of the following services are removed from the files: Google Bot, Bing Bot. Menu: • Statistics • FR-EN - Implementation • Files URLs • Sources • Releases Notes • To support me • Contact Statistics Update of the following table: 2026-03-17 17:12 CEST | Malicious IP addresses in full-\* | % | Number of IPs | | ---------------------------------------------------------- | ------- | ------------- | | Present in 6 sources and more | 5.39 % | 26 565 | | Present in 5 sources | 6.65 % | 32 749 | | Present in 4 sources | 7.07 % | 34 830 | | Present in 3 sources | 7.58 % | 37 339 | | Present in 2 sources | 13.80 % | 67 982 | | Present in 1 source | 59.48 % | 292 849 | | Total | 100 % | 492 314 | Update of the common IP table with the FortiGate ISDB Malicious-Malicious.Server: 2026-03-17 01:50 CEST | FortiGate models | full-\* IPs common with ISDB | | ------------------------------------------------------------ | ----------- | | 100F and below | 6.09 % | | 200F and above | 6.09 % | History of statistics here. Classification by country and organizations of malicious IP addresses present in at least 2 sources. Implementation **[FR]** **Comment intégrer** ces listes dans un **pare-feu** ? • **FortiGate** • C'est un complément de la base de données ISDB "**Malicious-Malicious.Server**" des FortiGate (statistiques d'IP communes entre la liste full-\* et l'ISDB ici). • Menu "Security Fabric → External Connectors → Create New → IP Address" • Prendre une URL dans la partie "Links" ci-dessous • Après, les listes peuvent être utilisées dans les "Firewall Policy" avec les objets "**IP Address Threat Feed**" • Plus d'informations : mon tutorial, le tutorial vidéo d'un expert sécurité Fortinet et cette page de l'aide Fortinet • **Palo Alto** : lien. Modèle PA-3200 et supérieurs limités à 150k IP (utilisez uniquement full-aa.txt), modèles inférieurs limités à 50k IP (utilisez le fichier full-40k.txt) • **Check Point** : lien • **Sophos** : lien. • **pfSense** : via le package pfBlocker-NG. Il faut aussi augmenter le nombre maximum d'entrées : voir ici. • **OPNsense** : via API (doc). Modifier le nombre maximal d'entrées d'un alias : "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries". • **IPTables** avec le paquet "ipset" : tutorial 1 tutorial 2 **[EN]** **How to integrate** these lists into a **firewall**? • **FortiGate** • It is a complement to the FortiGate ISDB "**Malicious-Malicious.Server**" database (common IP address statistics between the full-\* list and the ISDB here). • Menu "Security Fabric → External Connectors → Create New → IP Address" • Take a URL in the "Links" section below • Then, the lists can be used in "Firewall Policy" as "**IP Address Threat Feed**" objects. • More information: my tutorial, the video tutorial from a Fortinet security expert and this Fortinet help page • **Palo Alto**: here. PA-3200 model and above limited to 150k IP (use full-aa.txt only), lower models limited to 50k IP (use full-40k.txt file) • **Check Point** : link • **Sophos** : lien. • **pfSense**: via the package pfBlocker-NG. The maximum number of entries must be increased: see here. • **OPNsense**: via API (doc). Change the maximum number of entries for an alias: "Firewall -> Settings -> Advanced -> Firewall Maximum Table Entries". • **IPTables** with the "ipset" package: tutorial 1 tutorial 2 Files URLs Files URLs with all malicious IP addresses split in 131,072 IP files (especially for FortiOS 7.4.4): File URL of the 40,000 most malicious IPs (for small firewall or Palo-Alto < PA-3200): URL example of a country file Sources | Filename | Source | History | Description | | ------------------------------------------------------------ | ----------- | ------- | ----------- | | abuseipdb-\* | link | 120d | Collaborative blocklist | | alienvault-fakelabs-\* | link | 30d | SSH Brute-Force Honeypot | | alienvault-georgs-\* | link | 30d | RDP/SSH/VNC intrustion and Trojan request | | alienvault-ssh-bruteforce-\* | link | 30d | SSH Brute-Force Honeypot | | binarydefense.com-\* | link | 30d | IP Blo…