我注意到我的 apache 日志中有这样的行
[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent
HTTP/1.1 request without hostname (see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)
来自以下IP地址:
184.73.216.225
208.109.154.93
216.205.76.228
74.86.23.51
这个错误信息是什么意思以及这些人正在尝试做什么?
答案1
只是有人用 DFind 扫描你,寻找常见 php 软件中的漏洞。你的错误日志中可能有很多 404。
把这个放到 dfind.ban
cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.ban
使其可执行并运行它,你将禁止所有使用 dfind 扫描你的人。
您也可以使用以下方式直接禁止它们:
iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP
将 127.0.0.1 替换为您的网络服务器 IP。
来源:http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/
答案2
扫描漏洞是网络服务器生活的一部分。您可以尝试阻止它们,但最终您可能会被更多受感染的 PC 扫描,而您无法阻止。
最好采取主动的方式:
- 始终保持你的服务处于修补状态!
- 禁用软件中您不需要的功能。
- 扫描您的服务器以查找漏洞,以便在有人利用这些漏洞之前您就知道它们。