Я установил Tomcat 6 на свой первый новый VPS. Я добавил AccessLogValve в конфигурационный файл Tomcat server.xml. В журнале tomcat я впервые увидел это:
xxx.xxx.xxx.xxx - - [04/Mar/2011:23:43:12 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 - "-" "-"
и на следующий день после этого я пошел на этот сайт (в интернет-браузере), один из запросов в журнале tomcat был с тем же IP-адресом, что и запись выше, но с заголовками User-Agent, такими как мои (и сеансовые файлы cookie - это я проверяю своим веб-приложением журнал).
Это было повторено двумя другими IP-адресами: «GET /w00tw00t.at.ISC.SANS.DFind :)» ночью, а затем был перехвачен один запрос на следующий день. Как это возможно? Эти 3 IP-адреса были из 2 стран (2 из них - это страна, в которой расположен мой VPS).
Это просто какой-то робот, который сканирует сайты на уязвимости. Я видел это много раз, и пока ваш сервер правильно настроен и применяет все обновления безопасности, это не проблема.
Если вы все же хотите забанить этого робота, ознакомьтесь с этой статьей: http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/