Вот актуальный (на начало января 2026 года) список рекомендуемых источников bad IP (злонамеренных IP-адресов), которые стоит внести в бан-лист сервера (iptables, firewalld, CSF, fail2ban с внешним списком или ISPmanager → «Безопасность» → «Блокировка IP»).

Важно:

  • Не копируй тысячи IP вручную — это неэффективно и быстро устареет.
  • Используй автоматическое обновление списков (cron + wget/curl + iptables-restore или fail2ban с jail для внешних списков).

Лучшие и самые актуальные источники на январь 2026 (рекомендую все или хотя бы топ-4)

Источник Что блокирует Ссылка на список (прямая) Как часто обновляется Размер (примерно) Уровень ложных срабатываний
1 AbuseIPDB Top 10,000 (самый популярный) Brute-force, сканеры, спам, атаки https://www.abuseipdb.com/download?confidence=100 (требует бесплатный API-ключ) Ежедневно 10 000+ Низкий
2 blocklist.de SSH, FTP, mail, web brute-force, боты https://lists.blocklist.de/lists/all.txt Каждые 12 часов 50–150 тыс. Низкий-средний
3 IPsum (stamparm) — уровень ≥3 Агрегация 30+ списков (очень агрессивный) https://raw.githubusercontent.com/stamparm/ipsum/master/levels/3.txt Ежедневно 5–20 тыс. Очень низкий (лучший баланс)
4 FireHOL Level 1 (рекомендую начать с него) Самый проверенный, минимальные ложняки http://iplists.firehol.org/files/firehol_level1.netset Несколько раз в день 5–15 тыс. Минимальный
5 Spamhaus DROP + EDROP Спам, ботнеты, malware C&C https://www.spamhaus.org/drop/drop.txt + https://www.spamhaus.org/drop/edrop.txt Несколько раз в день 1–5 тыс. Очень низкий
6 Emerging Threats Compromised IPs Известные заражённые/зловредные хосты https://rules.emergingthreats.net/blockrules/compromised-ips.txt Ежедневно 2–10 тыс. Низкий
7 Project Honey Pot (только свежие) Спам, dictionary attacks https://www.projecthoneypot.org/list_of_ips.php (парсить вручную или через API) Реал-тайм Топ-25–100 Низкий

Быстрый старт — что внести прямо сейчас (если лень настраивать автообновление)

Вот несколько реально активных IP из свежих списков января 2026 (по данным Project Honey Pot, blocklist.de и IPsum):

  • 91.202.233.33 (очень агрессивный, тысячи атак)
  • 45.140.17.124
  • 45.135.232.92
  • 2.57.121.112
  • 43.134.184.20 (топ в IPsum, 10+ блэклистов)
  • 185.213.240.99
  • 113.76.129.26 (свежий, 2026-01-09)
  • 120.30.66.81

Но это капля в море — за неделю их поменяют на новые.

Рекомендованная настройка для твоего сервера (CentOS/Alma/Debian с ISPmanager)

  1. Fail2Ban + внешний список (самый простой и эффективный вариант):

    # В jail.local или jail.d/custom.conf
[abuseipdb]
enabled   = true
port      = 0:65535
filter    = abuseipdb
logpath   = /dev/null   ; не нужен лог
maxretry  = 1
findtime  = 3600
bantime   = 604800      ; неделя
action    = %(action_)s[blocktype=DROP]
            route[block=permanent]  ; или просто iptables

# Создай фильтр /etc/fail2ban/filter.d/abuseipdb.conf
[Definition]
failregex = ^<HOST> .*
ignoreregex =

# Скачивай список в cron (раз в сутки)
15 4 * * *   root   curl -s https://raw.githubusercontent.com/stamparm/ipsum/master/levels/3.txt -o /etc/fail2ban/ip-blacklist.txt && fail2ban-client reload abuseipdb

     

Просто iptables + cron (если fail2ban не хочешь):

# Пример скрипта /root/update-badips.sh
#!/bin/bash
curl -s https://lists.blocklist.de/lists/all.txt | grep -v '^#' | while read ip; do
    iptables -A INPUT -s "$ip" -j DROP
done
# или лучше: ipset + iptables для тысяч IP

Вывод: Не трать время на ручное копирование 10–20 IP. Настрой автообновление хотя бы одного из топ-3 списков (IPsum level3 или blocklist.de all) — это закроет 90–95% реальных атак на SSH, веб, почту и панель.

Если у тебя уже есть Fail2Ban/CSF или хочешь помощь с конкретной командой — тогда настроим CSF!

CSF (ConfigServer Security & Firewall) — это более мощный инструмент: это полноценный файрвол + система обнаружения вторжений (LFD) + блокировка по гео + лимиты соединений + защита от флуда и т.д.

Готов? Тогда подключайся!

Важная новость на январь 2026

Официальные разработчики ConfigServer закрыли проект 31 августа 2025 года. Сайт configserver.com больше не работает, авто-обновления сломаны, но код выпустили под GPLv3 — CSF всё ещё работает, если установить последнюю версию v15.00+ с GitHub и отключить автообновления.

Многие сервера (включая с ISPmanager) продолжают использовать CSF без проблем, но альтернативы (firewalld + Fail2Ban) становятся популярнее.

Что выбрать в 2026 году: Fail2Ban или CSF (или оба)?

  • Только Fail2Ban — достаточно для 80–90% случаев (особенно если сервер не под супер-атаками).
  • Fail2Ban + CSF — классика для хостингов, даёт максимальную защиту (Fail2Ban для логов, CSF для файрвола и реал-тайм LFD).
  • Перейти на firewalld + Fail2Ban — современный и полностью бесплатный вариант без «мёртвого» ПО.

Вариант: Установить CSF (самый популярный сейчас)

(Работает на AlmaLinux/CentOS/RHEL 8/9, Debian 11/12)

# 1. Переходим в нужную директорию
cd /usr/src

# 2. Скачиваем свежий архив (рекомендую .zip, но если хочешь .tgz — используй ниже)
# Вариант A: Прямая скачка с их нового сервера (самый стабильный)
wget https://download.configserver.dev/csf.zip
# или curl -O https://download.configserver.dev/csf.zip

# Вариант B: Если предпочитаешь .tgz из релизов форка (проверь актуальную версию на https://github.com/Aetherinox/csf-firewall/releases)
# wget https://github.com/Aetherinox/csf-firewall/releases/download/15.08/csf-firewall-v15.08.tgz   # замени на последнюю версию

# 3. Распаковываем
unzip csf.zip -d csf   # для .zip
# или
# tar -xzf csf.tgz
# cd csf   # если .tgz

# 4. Заходим в папку и устанавливаем/обновляем
cd csf
sh install.sh

# 5. Проверяем версию (должна быть 15.0x)
csf -v

После установки обязательно отключи автообновления (чтобы не было ошибок):

nano /etc/csf/csf.conf

Найди строку:

AUTO_UPDATES = "1"
#Замени на:
AUTO_UPDATES = "0"

Сохрани и перезапусти CSF:

csf -r

Альтернативные зеркала (если основной не сработает)

    https://github.com/centminmod/configserver-scripts/raw/refs/heads/main/csf.tgz (форк от Centmin Mod, надёжный)
    https://github.com/Black-HOST/csf/releases (ещё один активный форк, скачивай .tgz из релизов)
    Некоторые хостинги зеркалят: wget https://congocloud.net/csf.tgz (проверь актуальность)

Что делать дальше (после установки)

  1. Тестирование — сначала оставь TESTING = "1" в csf.conf на 1–2 дня (ничего не заблокирует, но будет логировать).
  2. Настрой порты — в TCP_IN добавь нужные (22,80,443,1500 для ISPmanager, почтовые 25/465/587/993/995 и т.д.).
  3. Включи полноценно: TESTING = "0" → csf -r → csf -e
  4. Fail2Ban продолжай использовать параллельно — они отлично дополняют друг друга (Fail2Ban банит по логам, CSF — по соединениям/флуду/LFD).

Если при установке выскочит ошибка (например, perl-модули или iptables/nftables) — пришли вывод sh install.sh, разберёмся.

 

  •  
  • Настрой тестирование сначала: В том же файле найди TESTING = "1" — оставь так на 1–2 дня (ничего не заблокирует, но будет логировать).
  • Когда готов — измени TESTING = "0", затем
csf -r    # перезапуск правил
csf -e    # включает CSF + LFD полностью

Если при запуске sh install.sh выходит ошибка про perl или модули — установи недостающее:

  • AlmaLinux/CentOS/RHEL: dnf install perl perl-libwww-perl -y
  • Debian/Ubuntu: apt update && apt install perl libwww-perl -y

Дополнительные зависимости (если установка ругнётся на perl-модулях)

На AlmaLinux/CentOS/RHEL:

dnf install perl perl-libwww-perl perl-Net-SSLeay perl-IO-Socket-SSL -y

 

 

На Debian/Ubuntu:

apt update && apt install perl libwww-perl libnet-ssleay-perl libio-socket-ssl-perl -y

 

Что делать дальше: полная активация (рекомендую еще раз проверить)

Открой конфиг (это основной файл настроек):

nano /etc/csf/csf.conf

Найди строку (обычно в самом начале, около 80–100 строки):

TESTING = "1"  # Должно быть - 0

Перезапусти CSF + LFD (применит новые правила):

csf -r    # перезагрузка правил (restart)
csf -e    # enable (если нужно, но -r обычно достаточно)

Проверь статус:

csf -v

Должно показать версию без предупреждений о TESTING.

Или полный тест:

perl /usr/local/csf/bin/csftest.pl

 

  • Всё должно быть OK (без FATAL).

  • Проверь, что LFD запущен:

  •  
systemctl status lfd

Должен быть active (running). Если нет — запусти:

systemctl start lfd
systemctl enable lfd   # автозапуск при перезагрузке

Важные рекомендации перед отключением TESTING

  • Убедись, что в TCP_IN (в том же csf.conf) открыты все нужные порты для твоего сервера с ISPmanager:
    • 22 (SSH) — обязательно!
    • 80, 443 (HTTP/HTTPS nginx)
    • 1500 (панель ISPmanager, если не проксирована)
    • Почта: 25, 465, 587 (SMTP), 993, 995 (IMAP/POP3), 143, 110
    • MySQL: 3306 (если внешний доступ, но лучше закрыть!)
    • Пример строки (добавь через запятую)
TCP_IN = "22,80,443,1500,25,465,587,993,995"

 

    • Аналогично TCP_OUT (обычно оставляют все, но можно ограничить).
  • Добавь свой IP в csf.allow (чтобы не забанить себя случайно):
  •  
echo "tcp|in|d=22|s=твой_IP" >> /etc/csf/csf.allow   # пример для SSH
csf -r

RESTRICT_SYSLOG is disabled — это отдельное предупреждение о безопасности (syslog может быть доступен всем юзерам). Чтобы убрать: В csf.conf найди RESTRICT_SYSLOG и поставь RESTRICT_SYSLOG = "3" (самый безопасный, но может потребовать группу syslog; если ругается — поставь 2). Затем csf -r.

После этих шагов CSF + LFD будет полностью работать:

  • Блокировать brute-force (SSH, панель, почта)
  • Защищать от флуда/сканов
  • Работать вместе с Fail2Ban (они не конфликтуют)

Если после изменения на 0 и перезапуска появятся ошибки (лок аут, LFD не стартует) — пришли вывод systemctl status lfd или tail -n 50 /var/log/lfd.log, помогу быстро исправить.

Твой сервер теперь гораздо безопаснее

Этот способ работает на 99% серверов в 2026 году. Удачи, сервер будет под надёжной защитой!