J'ai remarqué des lignes comme celles-ci dans mon journal d'apache
[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent
HTTP/1.1 request without hostname (see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)Provenant des adresses IP suivantes :
184.73.216.225
208.109.154.93
216.205.76.228
74.86.23.51Que signifie le message d'erreur et qu'est-ce que ces personnes essaient de faire ?
La recherche de vulnérabilités fait partie de la vie d'un serveur Web. Vous pouvez essayer de les bloquer, mais au bout du compte, vous risquez d'être scanné par plus de PC infectés que vous ne pourrez le faire.
Il est préférable d'être proactif :
Juste quelqu'un qui vous scanne avec DFind à la recherche de vulnérabilités dans les logiciels php courants. Vous avez probablement beaucoup plus de 404 dans votre journal d'erreurs.
Mettez ceci dans dfind.ban
cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.banRendez-le exécutable et exécutez-le et vous bannirez tous ceux qui vous ont scanné avec dfind.
Vous pouvez également les bannir directement en utilisant :
iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROPRemplacez 127.0.0.1 par l'adresse IP de votre serveur Web.
Source : http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
