处理 HTTP w00tw00t 攻击

Question 1

从您的错误日志来看，他们发送的 HTTP/1.1 请求没有请求的 Host: 部分。据我所知，Apache 在移交给 mod_security 之前，会用 400（错误请求）错误回复此请求。因此，您的规则似乎不会被处理。（Apache 在要求移交给 mod_security 之前会处理它）

尝试一下：

telnet 主机名 80
GET /blahblahblah.html HTTP/1.1 (输入)
（进入）

您应该会收到 400 错误，并在日志中看到相同的错误。这是一个错误的请求，而 Apache 给出了正确的答案。

正确的请求应该是这样的：

获取 /blahblahblah.html HTTP/1.1
主办方：blah.com

解决此问题的一个方法是修补 mod_uniqueid，即使请求失败，也可以生成唯一 ID，以便 apache 将请求传递给其请求处理程序。以下 URL 是关于此解决方法的讨论，并包含您可以使用的 mod_uniqueid 补丁： http://marc.info/?l=mod-security-users&m=123300133603876&w=2

找不到任何其他解决方案，想知道是否确实需要解决方案。

Answer

从您的错误日志来看，他们发送的 HTTP/1.1 请求没有请求的 Host: 部分。据我所知，Apache 在移交给 mod_security 之前，会用 400（错误请求）错误回复此请求。因此，您的规则似乎不会被处理。（Apache 在要求移交给 mod_security 之前会处理它）

尝试一下：

telnet 主机名 80
GET /blahblahblah.html HTTP/1.1 (输入)
（进入）

您应该会收到 400 错误，并在日志中看到相同的错误。这是一个错误的请求，而 Apache 给出了正确的答案。

正确的请求应该是这样的：

获取 /blahblahblah.html HTTP/1.1
主办方：blah.com

解决此问题的一个方法是修补 mod_uniqueid，即使请求失败，也可以生成唯一 ID，以便 apache 将请求传递给其请求处理程序。以下 URL 是关于此解决方法的讨论，并包含您可以使用的 mod_uniqueid 补丁： http://marc.info/?l=mod-security-users&m=123300133603876&w=2

找不到任何其他解决方案，想知道是否确实需要解决方案。

Question 2

在我看来，过滤 IP 不是一个好主意。为什么不尝试过滤您知道的字符串呢？

我是说：

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

Answer

在我看来，过滤 IP 不是一个好主意。为什么不尝试过滤您知道的字符串呢？

我是说：

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

Question 3

我也开始在我的日志文件中看到这些类型的消息。防止这些类型攻击的一种方法是设置fail2ban（http://www.fail2ban.org/) 并在 iptables 规则中设置特定的过滤器以将这些 IP 地址列入黑名单。

以下是一个过滤器的示例，该过滤器将阻止与发送这些消息相关的 IP 地址

[2011 年 8 月 16 日星期二 02:35:23] [错误] [客户端] 文件不存在：/var/www/skraps/w00tw00t.at.blackhats.romanian.anti-sec:) === apache w00t w00t messages jail - 正则表达式和过滤器 === Jail

 [apache-wootwoot]
 enabled  = true
 filter   = apache-wootwoot
 action   = iptables[name=HTTP, port="80,443", protocol=tcp]
 logpath  = /var/log/apache2/error.log
 maxretry = 1
 bantime  = 864000
 findtime = 3600

筛选

 # Fail2Ban configuration file
 #
 # Author: Jackie Craig Sparks
 #
 # $Revision: 728 $
 #
 [Definition]
 #Woot woot messages
 failregex = ^\[\w{1,3} \w{1,3} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2} \d{1,4}] \[error] \[client 195.140.144.30] File does not exist: \/.{1,20}\/(w00tw00t|wootwoot|WootWoot|WooTWooT).{1,250}
 ignoreregex =

Answer

我也开始在我的日志文件中看到这些类型的消息。防止这些类型攻击的一种方法是设置fail2ban（http://www.fail2ban.org/) 并在 iptables 规则中设置特定的过滤器以将这些 IP 地址列入黑名单。

以下是一个过滤器的示例，该过滤器将阻止与发送这些消息相关的 IP 地址

[2011 年 8 月 16 日星期二 02:35:23] [错误] [客户端] 文件不存在：/var/www/skraps/w00tw00t.at.blackhats.romanian.anti-sec:) === apache w00t w00t messages jail - 正则表达式和过滤器 === Jail

 [apache-wootwoot]
 enabled  = true
 filter   = apache-wootwoot
 action   = iptables[name=HTTP, port="80,443", protocol=tcp]
 logpath  = /var/log/apache2/error.log
 maxretry = 1
 bantime  = 864000
 findtime = 3600

筛选

 # Fail2Ban configuration file
 #
 # Author: Jackie Craig Sparks
 #
 # $Revision: 728 $
 #
 [Definition]
 #Woot woot messages
 failregex = ^\[\w{1,3} \w{1,3} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2} \d{1,4}] \[error] \[client 195.140.144.30] File does not exist: \/.{1,20}\/(w00tw00t|wootwoot|WootWoot|WooTWooT).{1,250}
 ignoreregex =

Question 4

我亲自编写了一个 Python 脚本来自动添加 IPtables 规则。

这是一个略微简化的版本，没有日志记录和其他垃圾：

#!/usr/bin/python
from subprocess import *
import re
import shlex
import sys

def find_dscan():
        p1 = Popen(['tail', '-n', '5000', '/usr/local/apache/logs/error_log'], stdout=PIPE)
        p2 = Popen(['grep', 'w00t'], stdin=p1.stdout, stdout=PIPE)

        output = p2.communicate()[0].split('\n')

        ip_list = []

        for i in output:
                result = re.findall(r"\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b", i)
                if len(result):
                        ip_list.append(result[0])

        return set(ip_list)

for ip in find_dscan():
        input = "iptables -A INPUT -s " + ip + " -j DROP"
        output = "iptables -A OUTPUT -d " + ip + " -j DROP"
        Popen(shlex.split(input))
        Popen(shlex.split(output))

sys.exit(0)

Answer

我亲自编写了一个 Python 脚本来自动添加 IPtables 规则。

这是一个略微简化的版本，没有日志记录和其他垃圾：

#!/usr/bin/python
from subprocess import *
import re
import shlex
import sys

def find_dscan():
        p1 = Popen(['tail', '-n', '5000', '/usr/local/apache/logs/error_log'], stdout=PIPE)
        p2 = Popen(['grep', 'w00t'], stdin=p1.stdout, stdout=PIPE)

        output = p2.communicate()[0].split('\n')

        ip_list = []

        for i in output:
                result = re.findall(r"\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b", i)
                if len(result):
                        ip_list.append(result[0])

        return set(ip_list)

for ip in find_dscan():
        input = "iptables -A INPUT -s " + ip + " -j DROP"
        output = "iptables -A OUTPUT -d " + ip + " -j DROP"
        Popen(shlex.split(input))
        Popen(shlex.split(output))

sys.exit(0)

处理 HTTP w00tw00t 攻击

更新 1

更新 2

关于这个主题的最终想法

答案1

答案2

答案3

答案4

相关内容