Eine von der Community gepflegte IP-Blacklist, die über API und GitHub verfügbar ist. Nutzen Sie sie, um bekannte bösartige IP-Adressen in Ihrer Firewall, auf Ihrem Webserver oder in Ihrer Anwendung zu blockieren – automatisch aktualisiert anhand von Angriffsdaten aus der Praxis.
Jede IP-Adresse auf der Blacklist stammt aus Meldungen der Community, die in unserer Reputations-Engine erfasst wurden. Eine IP-Adresse wird nur dann aufgenommen, wenn:
Die Blacklist wird automatisch aktualisiert – es findet keine manuelle redaktionelle Überprüfung statt. Der gesamte Prozess
ist offen und transparent: Sie können jeden Eintrag über
GET /reportedip/v2/check?ip=<ip>&verbose=true
um die genaue Aufschlüsselung der Punkte zu sehen.
Die vollständige Blacklist wird als öffentliches GitHub-Repository veröffentlicht und alle 48 Stunden anhand der Live-API-Daten aktualisiert. Sie können sie klonen, in CI/CD-Pipelines verwenden oder in Ihre Infrastruktur integrieren.
reportedip-blacklist/
├── blacklist-all.txt # All IPs, one per line
├── blacklist-all.json # All IPs with metadata
├── blacklist-all.csv # All IPs, CSV format
└── lists/
├── spam.txt
├── brute-force.txt
├── cms-login.txt
├── web-attacks.txt
├── scanning.txt
├── exploitation.txt
├── honeypot.txt
├── phishing.txt
└── malware.txt
Klartext, eine IP-Adresse pro Zeile. Zeilen, die mit # sind Kommentare,
die Metadaten wie Erstellungszeit und Gesamtanzahl enthalten.
# ReportedIP Blacklist
# Generated: 2026-03-10T00:00:00Z
# Total: 12847
1.2.3.4
5.6.7.8
9.10.11.12Eine Sammlung von Objekten mit vollständigen Metadaten für jede IP-Adresse, einschließlich Konfidenzwert, Kategorien und dem Zeitpunkt der letzten Meldung der IP-Adresse.
[
{
"ip": "1.2.3.4",
"confidence": 95,
"categories": ["brute-force", "cms-login"],
"last_seen": "2026-03-09T14:22:00Z"
},
{
"ip": "5.6.7.8",
"confidence": 82,
"categories": ["scanning"],
"last_seen": "2026-03-08T09:15:00Z"
}
]Durch Kommas getrennte Werte mit Spaltenüberschriften. Einfach in Tabellenkalkulationen, Datenbanken oder SIEM-Tools zu importieren.
ip,confidence,category,last_seen
1.2.3.4,95,brute-force,2026-03-09T14:22:00Z
5.6.7.8,82,scanning,2026-03-08T09:15:00Z
9.10.11.12,78,web-attacks,2026-03-07T20:45:00ZVerwenden Sie die Blacklist-Dateien, um bösartige IP-Adressen auf Firewall- oder Webserver-Ebene zu blockieren. Nachfolgend finden Sie Integrationsbeispiele für gängige Tools.
Erstellen Sie eine Blocklistenkonfiguration und fügen Sie diese in Ihren Nginx-Serverblock ein:
# Generate Nginx blocklist from TXT file
awk '{print "deny " $1 ";"}' blacklist-all.txt > /etc/nginx/blocklist.conf# /etc/nginx/sites-enabled/default
server {
include /etc/nginx/blocklist.conf;
# ... rest of your config
}# .htaccess — Block reported IPs
<RequireAll>
Require all granted
Require not ip 1.2.3.4
Require not ip 5.6.7.8
Require not ip 9.10.11.12
</RequireAll># Block all IPs from the blacklist
while read ip; do
iptables -A INPUT -s "$ip" -j DROP
done < blacklist-all.txtErstellen Sie eine benutzerdefinierte Jail, die IP-Adressen aus der ReportedIP sperrt:
# /etc/fail2ban/jail.d/reportedip.conf
[reportedip-blacklist]
enabled = true
banaction = iptables-allports
bantime = 86400
filter = reportedip-blacklist
logpath = /var/log/reportedip-blacklist.log
maxretry = 1
Die /blacklist endpoint bietet in Echtzeit Zugriff auf die vollständige Blacklist mit
Filteroptionen. Ein API-Schlüssel ist erforderlich.
| Parameter | Typ | Beschreibung |
|---|---|---|
format |
Zeichenkette | Format der Antwort: json (Standard), txt, csv |
source |
Zeichenkette | Quelle der schwarzen Liste: community (Standard) – nur eine Quelle verfügbar; die source Dieser Parameter ist für zukünftige Verwendung reserviert |
confidence_minimum |
Ganzzahl | Mindestwert für die Konfidenzbewertung (0–100). Standardwert: 75 |
category |
Zeichenkette | Nach Slug der Bedrohungskategorie filtern (z. B. brute-force, spam) |
limit |
Ganzzahl | Maximale Anzahl der zurückzugebenden IP-Adressen. Standard: 10000 |
curl -H "X-Key: YOUR_API_KEY" \
"https://reportedip.de/wp-json/reportedip/v2/blacklist?format=txt&confidence_minimum=90"Die vollständige Dokumentation zu den Endpunkten, dem Antwortformat und weiteren Parametern finden Sie in der API-Referenz.
Richten Sie einen Cron-Job ein, um die aktuelle Blacklist automatisch herunterzuladen und Ihre Firewall-Regeln zu aktualisieren.
# /etc/cron.d/reportedip-blacklist
0 */6 * * * root /usr/local/bin/update-reportedip-blocklist.sh#!/bin/bash
# /usr/local/bin/update-reportedip-blocklist.sh
# Downloads the latest ReportedIP blacklist and updates Nginx blocklist
API_KEY="your-api-key-here"
API_URL="https://reportedip.de/wp-json/reportedip/v2/blacklist"
BLOCKLIST="/etc/nginx/blocklist.conf"
TMPFILE=$(mktemp)
# Download latest blacklist in TXT format
curl -sf -H "X-Key: $API_KEY" \
"$API_URL?format=txt&confidence_minimum=90" \
-o "$TMPFILE"
if [ $? -eq 0 ] && [ -s "$TMPFILE" ]; then
# Convert to Nginx deny directives
grep -v "^#" "$TMPFILE" | grep -v "^$" | \
awk '{print "deny " $1 ";"}' > "$BLOCKLIST"
# Reload Nginx
nginx -t && systemctl reload nginx
echo "$(date): Blocklist updated with $(wc -l < "$BLOCKLIST") entries"
else
echo "$(date): Failed to download blacklist" >&2
fi
rm -f "$TMPFILE"| Verfahren | Latenz | Anmeldung erforderlich | Am besten geeignet für |
|---|---|---|---|
| API | Echtzeit | Ja (API-Schlüssel) | Automatische Sperrung, dynamische Firewall-Regeln, SIEM-Integration |
| GitHub | Bis zu 48 Stunden | Nein | Statische Firewall-Regeln, CI/CD-Pipelines, Offline-Analyse |