У меня есть публичный SIP сервер, на котором я настроил переброс всех анонимных звонков на свой SIP телефон. Адрес сервера нигде не публиковался и не известен для широкой публики. С течением времени замечаю что попыток выйти в город через этот сервер стало очень много, при этом попытки целеноправленные, с учётом российских правил набора. Телефон с утра сегодня трезвонит просто целый день.

Понятное дело, что нужно как-то дать отпор такой наглости. Для начала я хочу настроить сборщик всех попыток анонимных звонков, который в SQL будет собирать набранные номера и IP, скоторых происходят попытки перебора. Далее интересует вопрос, в каком виде наиболее удобно будет публиковать эту информацию публично в виде black-листов? Хотелось бы список негодяев публиковать в публичных сервисах типа twitter/juick и т.п. У кого будут какие идеи?

Было бы красиво сделать публичный проект, где зарегистрированные пользователи могли бы добавлять адреса в черный список, доступный всем. Сделать универсальный для всех дистров демон, который бы периодически синхронизировался с публичной базой и добавлял адреса в фаервол.

Да, собственно идея именно в этом.

Сделать AGI (на C для максимальной совместимости и скорости), который будет отправлять в сервис IP и набранные номера, попавшие в общедоступный catch-all экстенжн.

Сделать демон, который будет вытягивать адреса из общедоступного хранилища и блокировать в iptables данные адреса.

хорошая идея
надо:
1) придумать алгоритм, который по некоторым признакам идентифицирует попытки взлома и отправляет информацию на центральный сервер
2) нужно придумать механизм, верифицирующий поступающую информацию, чтобы не банило первых попавшихся
3) нужно сделать сайт обмена такой информацией
4) ну и демон для дистриба как говорил trscod

Ну вы в курсе, что автозвонилки собирали в том числе и те пассажиры, которые тут появлялись время от времени с нытьём - "как мне сделать автодозвон по списку?"

Мы то в курсе. Но тут не про автообзвон речь, а про целеноправленные попытки фрода из интернета. Ищутся сип сервера, ищутся те, которые позволяют анонимно звонить в город. Далее сливают в максимально возможных объемах трафик, пока субъект не обанкротится.

Познавательно - http://www.xakep.ru/post/50028/

По многим таким кейсам я обращался напрямую к провайдерам.
Последних отлавливали в сетях amazon.com.

Стандартный механизм ручной ловли блох:
1) смотрим на графики IP траффика на станции, если пошла примерно ровная полоса in/out - это бомбят.
2) Добавляем бомбилу в
iptables -A INPUT -s ip_addr_fraud_server -j DROP
3) whois ip_addr_fraud_server
4) копипастим хороший кусок лога и отправляем claim на abuse@provider_whois

Есть автоматизированные методы - Fail2Ban

можно использовать SER для этих целей. у него есть механизмы, позволяющие:
- ограничивать количество запросов с одного адреса с блокировкой на определенное время;
- ограничивающие количество запросов с определенными методами, пропускаемых на backend. для защиты от DDOS. при чем для каждого метода создается отдельная очередь;
- "черный список" и ограничения доступа.

так что почти готовый функционал в качеств frontend для SIP-сервера.

идея хорошая и полезная, но со временем это превратится в бан конкурентов.. кто-то должен отслеживать правдивость подаваемой информации на публичном сервисе.

Самое идеальное, свой локальный сервис, который будет детектить и банить

Поддерживаю.
Локальный банно-прачечный комбинат всегда удобней.
Пока начата была эта тема - глянул - опять ковыряют тупари из сетей Amazon.
Уже так надоело переписываться с abuse team, заполнять их дурацкие формы! Чик глобально:
75.101.128.0/17
184.72.0.0/15
174.129.0.0/16
и пусть ходят лесом.