Я заметил такие строки в моем журнале apache
[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent
HTTP/1.1 request without hostname (see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)
Исходя из следующих IP-адресов:
184.73.216.225
208.109.154.93
216.205.76.228
74.86.23.51
Что означает сообщение об ошибке и что эти люди пытаются сделать?
Сканирование на уязвимости - это часть жизни веб-сервера. Вы можете попытаться заблокировать их, но в конечном итоге вы, скорее всего, будете просканированы большим количеством зараженных компьютеров, чем сможете опередить.
Лучше проявить инициативу:
Просто кто-то просканирует вас с помощью DFind в поисках уязвимостей в распространенном программном обеспечении php. Вероятно, в вашем журнале ошибок гораздо больше 404.
Поместите это в dfind.ban
cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.ban
Сделайте его исполняемым и запустите, и вы забаните всех, кто просканировал вас с помощью dfind.
Вы также можете заблокировать их напрямую, используя:
iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP
Замените 127.0.0.1 на свой IP-адрес веб-сервера.
Источник: http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/