BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

26Feb/094

w00tw00t.at.ISC.SANS.DFind

Schon seit längerem sind in den (Apache-)Logs meiner Server einige seltsame Zeilen zu finden (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen.

/* google like button API */