服务器被某些 IP 地址扫描

服务器被某些 IP 地址扫描

我注意到我的 apache 日志中有这样的行

[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent 
HTTP/1.1 request without hostname (see RFC2616 section 14.23): 
/w00tw00t.at.ISC.SANS.DFind:)

来自以下IP地址:

184.73.216.225
208.109.154.93
216.205.76.228
74.86.23.51

这个错误信息是什么意思以及这些人正在尝试做什么?

答案1

只是有人用 DFind 扫描你,寻找常见 php 软件中的漏洞。你的错误日志中可能有很多 404。

把这个放到 dfind.ban

cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.ban

使其可执行并运行它,你将禁止所有使用 dfind 扫描你的人。

您也可以使用以下方式直接禁止它们:

iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP

将 127.0.0.1 替换为您的网络服务器 IP。

来源:http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/

答案2

扫描漏洞是网络服务器生活的一部分。您可以尝试阻止它们,但最终您可能会被更多受感染的 PC 扫描,而您无法阻止。

最好采取主动的方式:

  • 始终保持你的服务处于修补状态!
  • 禁用软件中您不需要的功能。
  • 扫描您的服务器以查找漏洞,以便在有人利用这些漏洞之前您就知道它们。

相关内容