Servidor sendo verificado por determinados endereços IP

Question

Servidor sendo verificado por determinados endereços IP

#1 resposta do (4 votos)
#2 resposta do (3 votos)

1

Eu notei linhas como essas no meu log do apache

[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent 
HTTP/1.1 request without hostname (see RFC2616 section 14.23): 
/w00tw00t.at.ISC.SANS.DFind:)

Vindo dos seguintes endereços IP:

184.73.216.225
208.109.154.93
216.205.76.228
74.86.23.51

O que significa a mensagem de erro e o que essas pessoas estão tentando fazer?

hacking apache-2.2

por siliconpi 16.10.2010 / 13:50

2 respostas

4

Ser examinado quanto a vulnerabilidades faz parte da vida útil do servidor da web. Você pode tentar bloqueá-los, mas provavelmente você será examinado por mais PCs infectados do que poderá continuar.

É melhor ser proativo:

Sempre mantenha seus serviços atualizados!
Desativar recursos em software de que você não precisa.
Analise o seu servidor em busca de vulnerabilidades para que você saiba sobre eles antes que alguém de lá tire proveito deles.

por 16.10.2010 / 14:20

Tags hacking apache-2.2

Longevidade de entradas em / tmp em um servidor endereço DNS em um laptop em roaming

score 3 · Accepted Answer

Apenas alguém examinando você com o DFind procurando por vulnerabilidades no software PHP comum. Você provavelmente tem mais 404's em seu log de erros.

Coloque isso no dfind.ban

cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.ban

Torne-o executável e execute-o e você banirá todos que o examinaram com o dfind.

Você também pode bani-los diretamente usando:

iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP

Substitua 127.0.0.1 pelo ip do seu servidor web.

Fonte: link