BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...
26Feb/094

w00tw00t.at.ISC.SANS.DFind

Schon seit längerem sind in den (Apache-)Logs meiner Server einige seltsame Zeilen zu finden (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen.

Kommentare (4) Trackbacks (0)
  1. Bei mir fand sich diese Woche folgender Eintrag in den Logs: /w00tw00t.at.blackhats.romanian.anti-sec:)
    Danach wurden allen möglichen admin-Verzeichnisse von phpmyadmin, webysql, typo3, usw. abgefragt… Ist das eine abgewandelte Variante des „Hacktools.DFind“?

  2. Hallo Matthias,

    ich konnte solche Einträge auch bei mir in den Logs finden. Die „w00tw00t.*“ Attacken sind ja nicht wirklich was neues, nur diese „Hacker“ Gruppe „romanian.anti-sec“ scheint wohl sehr aktiv zu sein in letzter Zeit.
    Typische access-log Auszüge zu dem Fall sehen so aus:

    access.log.4.gz:82.145.227.13 - - [13/Aug/2010:14:55:45 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 337 "-" "ZmEu"
    access.log.2.gz:62.193.226.190 - - [23/Aug/2010:21:16:54 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 325 "-" "ZmEu"
    access.log.2.gz:62.193.226.190 - - [23/Aug/2010:21:16:54 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 325 "-" "ZmEu"

    Erst wird mit Hilfe von dem „Hacktools.DFind“ gescannt und dann kommen die Brute-Force Attacken auf diverse möglichen Sicherheitslücken.

    Ich hoffe du hast nicht solche access-logs bei dir, diese habe ich bei einem Kunden gefunden, der über ein PHPMyAdmin gehackt worden ist.

    access.log.3.gz:88.191.70.74 - - [18/Aug/2010:11:50:50 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 200 - "http://74.208.153.205/phpmyadmin/scripts/setup.php" "Opera"

  3. Um die lästigen Versuche, Sicherheitslücken aufzuspüren, zu unterbinden, kann mit SNORT ( http://www.snort.org/ ) und SnortSam ( http://www.snortsam.net/ ) und der Regel
    http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/~checkout~/sigs/WEB_SERVER/WEB_wootwoot?rev=1.5;content-type=text%2Fplain
    ein System aufgebaut werden, dass die IP-Adresse, des anfragenden Rechners für eine bestimmte Zeit blockt.
    Würde ich definitiv jedem Betreiber eines Internet-Servers empfehlen.

  4. Snort + Snortsam ist gut und schön, aber ein übler RAM-Fresser und für normale WEB(Root-Server) nicht wirklich zu empfehlen. Das ist hier etwas „to big“ für das Problem. Eine sinnvolle sparende Alternative ist mod_security + modsec2iptables + mod_geoip + regelmäßige Analyse der Logfiles, um entsprechende Rules schreiben zu können. Ich verwende zusätzlich Perl-Scripten, welche automatisiert von Blacklistenanbietern csv-Files downloaden, in Rules wandeln und in eine zusätzliche .conf schreiben. Anschließend wird der Indianer neu gestartet. modsec2iptables setzt den „bösen Buben“ per iptables auf die hintere Bank.

    Gruss Rico


Leave a comment

Noch keine Trackbacks.

/* google like button API */