w00tw00t.at.ISC.SANS.DFind

Seit langem beobachte ich meine LogFiles und finde nun vermehrt Einträge mit IP Adressen von Hostern mit folgendem LogInhalt:

1
2
3
4
5
[Sun May 17 20:59:57 2009]
[error] [client xxx.xxx.xxx.xxx]
client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)

Diese Zeilen sind zwar nur ein Fingerprint von DFind, der Schwachstellen auf Servern ausfindig macht. Symantec listet das Tool als “Hacktool.DFind”. Vorsichtshalber sperre ich jede IP-Adresse (via iptables), die in meinem LogFile folgenden Content (/w00tw00t.at.ISC.SANS.DFind oder w00t oder DFind) mit sendet.

Dieser Beitrag wurde unter Linux, Security abgelegt und mit , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu w00tw00t.at.ISC.SANS.DFind

  1. Hmmm sagt:

    Du cleverle. Und was, wenn das von nem infizierten Dialup Client kommt? Dann sieht am nächsten Tag ein ganz normaler User Deine Seite nüscht….

  2. Adrian Sauer sagt:

    Dann ist dem so. Hast Du eine bessere Lösung parat?

  3. Matthias sagt:

    Ich sperre auch alle IP’s die mir verdächtig vorkommen, weil sie haufenweise nicht existente Adressen und Verzeichnisse abfragen. Ob da irgendwann mal auch ein ganz normaler User bei ist, macht doch fast keinen Unterschied! 😛
    In meinen Logs fand sich diese Woche ein ähnlicher Eintrag wie bei Dir, allerdings nicht mit ISC.SANS.Find sondern:
    /w00tw00t.at.blackhats.romanian.anti-sec:)
    Danach wurden alle möglichen admin Verzeichnisse von typo3, mysql, phpmyadmin, usw. abgefragt…

  4. Adrian sagt:

    Und wie sperrst Du die Anfragen? Vllt. mittels iptables? Gibst Du diese dann wieder frei nach einer bestimmten Zeitspanne?

  5. Matthias sagt:

    Ich bin da absolut kein Fachmann, aber ich habe einfach erst mal mittels utrace geschaut, woher die IPs kamen. Da alle ausländisch waren und größtenteils irgendwo aus Russland stammten, dachte ich mir um die User ist es sowieso nicht schade und habe alle in die htaccess kopiert und dort komplett gesperrt… 😉
    Ich gehe nicht davon aus, dass die IP-Adressen irgendwann neu zugewiesen werden und dann deutschen Usern gehören, oder kann das vorkommen?

  6. Adrian sagt:

    Auche eine Möglichkeit, aber das wäre mir ein wenig Zeitraubend. Derzeit lasse ich jede IP per iptables automatisiert sperren. Hierzu nutze ich ein Skript:

    1
    2
    3
    4
    5
    #!/bin/sh
    for ip in `cat /var/log/apache2/error_log |grep w00tw00t | awk '{print $8}' | sort -ug | sed 's/]//g'`; do
      /usr/sbin/iptables -I INPUT -s $ip -j DROP
      /usr/sbin/iptables -I OUTPUT -s $ip -j DROP
    done

    Dies lasse ich alle 5 Minuten dann per Cronjob ausführen. Ein seperater Bericht folgt daraufhin noch per Email mit den Ergebnissen.

    Eskann gut möglich sein, dass auch deutsche User diese IP-Adresse besitzen können, im Ausland Server angemietet haben und von dort aus regelmäßige Sicherheitsscans auf Server in Deutschland ausführen. Möglich, muss aber nicht sein.

Kommentare sind geschlossen.