Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP

Riemann · 18-02-2009, 08:37:15

Los logs error_log y access_log están llenos de peticiones como la siguiente:

[client 82.196.209.37] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind

Las IPs que han realizado estas peticiones hasta el momento son:

Código:

62.141.37.21
64.135.20.150
65.111.169.204
81.169.143.200
82.196.209.37
85.42.37.227
85.88.25.175
87.106.105.93
94.23.13.104
94.23.19.121
94.23.32.139
94.23.120.99
118.168.138.240
125.208.21.21
212.40.101.18
217.160.253.81

y ya están todas bloqueadas por iptables. Lo que no se, es si esto es un intento de ataque o que están escaneando en busca de alguna vulnerabilidad. He buscado esta cadena en la web y algunos dicen que es un scan que busca fallos en el servidor web... pero no parece concluyente.

¿A alguien más le llegan estas peticiones?

Además, al menos cuatro de las IPs que he listado son de OVH (94.23.*.*). Probablemente pertenecen a servidores crackeados. ¿Alguien sabe si existe alguna manera de avisar a los administradores de estas máquinas?

Un saludo a todos

mikelsanz · 18-02-2009, 08:49:37

Buenos días. En efecto, es un servidor intendo atacar o buscar vulnerabilidades. A mi me afectó a los 10 minutos de instalar el servidor, por lo que es probable que, de momento, solo estén rastreando aleatoriamente.

Sería ideal si los administradores tomaran medidas para que no pudieran ni rastrearnos. Un saludo.

Nebur · 03-04-2009, 13:27:27

Darle un vistazo a esto, quizás pueda servidor de utilidad:

http://howflow.com/tricks/block_w00t..._with_fail2ban

dodger · 22-07-2009, 15:54:48

En mi blog trato el tema:
http://www.ciberterminal.net/blog/?p=62
No únicamente trato el w00t, sino otras cosas que suelen ser relevantes

barbaro · 22-07-2009, 16:41:11

Buscando por hay encontre una regla que quizas sirva,la voy a probar ahora y ya os dire o si quereis hacerlo vosotros y comentais tendremos mas opiniones,aqui os la dejo.

iptables -I INPUT -d ip de vuestro servidor -p tcp --dport 80 -m string --to 70 \
--algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

crises · 22-07-2009, 18:41:04

Cita:

Empezado por barbaro

iptables -I INPUT -d ip de vuestro servidor -p tcp --dport 80 -m string --to 70 \
--algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Lo malo de eso es la opción --algo, que en mi versión de iptables por lo menos no puedo usar. Yo de momento no tengo nada que bloquee los scans estos y ando bloqueando las IPs "a mano" mirando logs y con ayuda del CSF+LFD que tanto le gusta a Power =D

De momento no es que no me preocupe... pero tampoco me ocupa xD Sólo son scans. Creo que hay una manera de bloquearles con el apache mod_security pero no me hagas mucho caso, e incluso con un .htaccess para cada dominio. Otra opción es la que comentan del fail2ban, pero como yo ya tenía el CSF pasé de historias.

Mira mi lista de IPs que me han scaneado, y solo llevo como un mesecito haciéndolo. Hay varias de OVH sí xD

Código:

#w00tw00t
212.78.225.56
79.165.93.226
88.80.216.101
94.23.206.155
87.229.108.30
94.23.211.174
92.51.142.23
208.53.151.10
85.114.141.209
94.102.3.54
195.153.113.140
91.121.25.110
85.14.217.16
216.245.214.93
85.114.135.67
84.164.209.22
88.255.202.82
87.106.208.74
91.121.65.73
74.208.96.223
74.52.89.114
89.163.145.16
85.114.136.194
62.141.54.105
94.23.8.165
87.118.124.57
212.227.97.187
80.146.190.22
62.75.144.64
64.186.129.179
88.255.202.165
78.111.75.142
80.68.240.114
213.180.78.233
94.23.9.143
217.65.100.89
68.178.205.217
88.255.202.246
85.214.63.44
88.80.214.156
89.171.233.10
64.68.48.194
74.208.9.186
64.68.48.194
91.121.174.132
69.44.225.6
93.187.200.66
84.40.5.129
82.98.145.137
74.208.132.247
77.245.145.18
88.80.216.124
87.106.80.167
85.214.153.253
91.121.77.210
213.115.160.62
95.211.64.203
209.47.33.187
75.127.66.117
85.214.153.253
82.152.231.210
62.193.225.236
89.19.2.58
173.1.83.254
81.169.131.42
88.149.202.146
85.214.82.40
213.232.95.7
#end w00tw00t

barbaro · 22-07-2009, 18:48:28

Tambien puedes hacerlo con :

iptables -I INPUT -d TON_IP_ICI -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Tambien gracias a power utilizo el csf y lo he tenido puesto con fail2ban pero con unas buenas reglas en iptables y deflate me ha dado buen resultado.

Los datos que llegan por Apache, que escucha en el puerto 80 se trasladarán a mod_security y no al revés. De la forma anterior rechaza la solicitud de apache sin el paso a mod_security.

saludos

crises · 22-07-2009, 19:42:27

Uhm pues tienes razón, me parece que me hice la picha un lio con lo de que no podía usar la opción --algo la última vez que lo probé, porque ahora sí que me deja crear esa regla... y no he actualizado nada desde entonces. En fín gracias, estaré pendiente de los logs a ver si desaparecen de una vez esos scans ^^

dave · 24-07-2009, 11:11:35

¿Por qué molestarse en añadir reglas de filtrado?

Si mantienes el software al día no va a pasar nada.

Otra cosa es el servicio SSH, si se puede hacer login desde cualquier IP y no se ha desctivado el login por contraseña, pues igual si es recomendable.

barbaro · 24-07-2009, 11:28:47

Cita:

Empezado por dave

¿Por qué molestarse en añadir reglas de filtrado?

Si mantienes el software al día no va a pasar nada.

Otra cosa es el servicio SSH, si se puede hacer login desde cualquier IP y no se ha desctivado el login por contraseña, pues igual si es recomendable.

Eso es totalmente falso,comprate un coche y pasa las revisiones,asi no te lo robaran.

Saludos

18-02-2009, 08:37:15	#1
Riemann Miembro Fecha de Ingreso: Feb 2009 Mensajes: 14	Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Los logs error_log y access_log están llenos de peticiones como la siguiente: [client 82.196.209.37] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind Las IPs que han realizado estas peticiones hasta el momento son: Código: 62.141.37.21 64.135.20.150 65.111.169.204 81.169.143.200 82.196.209.37 85.42.37.227 85.88.25.175 87.106.105.93 94.23.13.104 94.23.19.121 94.23.32.139 94.23.120.99 118.168.138.240 125.208.21.21 212.40.101.18 217.160.253.81 y ya están todas bloqueadas por iptables. Lo que no se, es si esto es un intento de ataque o que están escaneando en busca de alguna vulnerabilidad. He buscado esta cadena en la web y algunos dicen que es un scan que busca fallos en el servidor web... pero no parece concluyente. ¿A alguien más le llegan estas peticiones? Además, al menos cuatro de las IPs que he listado son de OVH (94.23..). Probablemente pertenecen a servidores crackeados. ¿Alguien sabe si existe alguna manera de avisar a los administradores de estas máquinas? Un saludo a todos

18-02-2009, 08:49:37	#2
mikelsanz Miembro Fecha de Ingreso: Oct 2008 Mensajes: 291	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Buenos días. En efecto, es un servidor intendo atacar o buscar vulnerabilidades. A mi me afectó a los 10 minutos de instalar el servidor, por lo que es probable que, de momento, solo estén rastreando aleatoriamente. Sería ideal si los administradores tomaran medidas para que no pudieran ni rastrearnos. Un saludo.

03-04-2009, 13:27:27	#3
Nebur Miembro Fecha de Ingreso: Jul 2008 Mensajes: 3	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Darle un vistazo a esto, quizás pueda servidor de utilidad: http://howflow.com/tricks/block_w00t..._with_fail2ban

22-07-2009, 15:54:48	#4
dodger Miembro Fecha de Ingreso: Jul 2009 Mensajes: 1	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP En mi blog trato el tema: http://www.ciberterminal.net/blog/?p=62 No únicamente trato el w00t, sino otras cosas que suelen ser relevantes

22-07-2009, 16:41:11	#5
barbaro Miembro Fecha de Ingreso: Dec 2008 Mensajes: 232	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Buscando por hay encontre una regla que quizas sirva,la voy a probar ahora y ya os dire o si quereis hacerlo vosotros y comentais tendremos mas opiniones,aqui os la dejo. iptables -I INPUT -d ip de vuestro servidor -p tcp --dport 80 -m string --to 70 \ --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

22-07-2009, 18:48:28	#7
barbaro Miembro Fecha de Ingreso: Dec 2008 Mensajes: 232	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Tambien puedes hacerlo con : iptables -I INPUT -d TON_IP_ICI -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP Tambien gracias a power utilizo el csf y lo he tenido puesto con fail2ban pero con unas buenas reglas en iptables y deflate me ha dado buen resultado. Los datos que llegan por Apache, que escucha en el puerto 80 se trasladarán a mod_security y no al revés. De la forma anterior rechaza la solicitud de apache sin el paso a mod_security. saludos

22-07-2009, 19:42:27	#8
crises Miembro Fecha de Ingreso: Mar 2008 Mensajes: 89	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP Uhm pues tienes razón, me parece que me hice la picha un lio con lo de que no podía usar la opción --algo la última vez que lo probé, porque ahora sí que me deja crear esa regla... y no he actualizado nada desde entonces. En fín gracias, estaré pendiente de los logs a ver si desaparecen de una vez esos scans ^^

24-07-2009, 11:11:35	#9
dave Miembro Fecha de Ingreso: Jun 2009 Ubicación: Zaragoza, ES Mensajes: 6	Re: Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP ¿Por qué molestarse en añadir reglas de filtrado? Si mantienes el software al día no va a pasar nada. Otra cosa es el servicio SSH, si se puede hacer login desde cualquier IP y no se ha desctivado el login por contraseña, pues igual si es recomendable.