Posts Tagged ‘w00tw00t.at.ISC.SANS.DFind’

w00tw00t.at.ISC.SANS.DFind

2
17.05.2009 |  by Adrian  |  Linux, Security  |  , , , , , , , , , , , , , , , , , , , , ,

Seit langem beobachte ich meine LogFiles und finde nun vermehrt Einträge mit IP Adressen von Hostern mit folgendem LogInhalt:

[Sun May 17 20:59:57 2009]
[error] [client xxx.xxx.xxx.xxx]
client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)

Diese Zeilen sind zwar nur ein Fingerprint von DFind, der Schwachstellen auf Servern ausfindig macht. Symantec listet das Tool als “Hacktool.DFind”. Vorsichtshalber sperre ich jede IP-Adresse (via iptables), die in meinem LogFile folgenden Content (/w00tw00t.at.ISC.SANS.DFind oder w00t oder DFind) mit sendet.

Seite 1 von 11