Bei der Arbeit mit Firewalls, Mail Servern etc. kommt es öfters vor, dass mit einer IP konfrontiert wird bei der man sich nicht ganz sicher ist ob diese z.B. von einem legitimen Mailserver stammt oder von einem Spam Botnet. Um diese schnell und einfach zu prüfen habe ich ein kleines Script erstellt.

Es ist nicht immer nötig eine große Suite wie MISP oder The Hive aufzusetzen um eine IP zu prüfen. IOC Feeds manuell zu durchsuchen ist jedoch auch etwas lästig und man möchte doch die Infos von mehr als nur einer Quelle wie z.B. virustotal. Aus diesem Grund habe ich ein kleines Script geschrieben, welches Whois Daten und ein paar Security Feeds abfrägt und ausgibt ob die IP schon bösartig aufgefallen ist oder nicht.

Zu finden ist das Script auf meiner Github Page: https://github.com/bboerzel/ipcheck

Das ganze sieht dann wie folgt aus: