Schon seit längerem sind in den (Apache-)Logs meines neuen Servers einige seltsame Zeilen zu finden, denen ich dann zuweilen mal nachgehe. Folgendes Rätsel ist gelöst (Ursprungs-IP wurde unkenntlich gemacht):
xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 395 "-" "-"
Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” – dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.
In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen – Leute, sichert Eure Server!
Ich bin Software- Entwickler in einer
Hallo, habe dieses log auch auf meinem Miniwebserver gefunden , wie sehe ich , ob Schaden angerichtet wurde , können daten gelesen worden sein, der Angriff wurde als bad gekennzeichnet
Meines Wissens nach ist DFind nur ein Vulnerability Scanner, kein Penetration Tool. Es scannt also vorerst nur nach Schwachstellen – ob es welche gefunden hat und die wiederum mit diversen Exploits ausgenutzt wurden, kannst Du so nicht feststellen. Es geht wohl hauptsächlich um Schwachstellen in Server-Anwendungen, hier hilft also regelmäßiges Updaten.
Ob ein Angriff / Einbruch erfolgte, kann wohl nur durch Lesen der Logfiles oder das Scannen mittels Rootkit-Scannern (wie z.B. rkhunter) herausgefunden werden – wenn überhaupt.
:mrgreen::mrgreen::mrgreen::mrgreen::mrgreen:
ich finde es lustg.
ok mal zur erklärung von dfind, raphael hat recht es ist einfach nur ein scanner mit dem man auf ftp, mmsql scannt. entweder macht man das von zuhause aus mit nem proxy oder man nimmt einen scann stro um seine eigenen pc resurcen nicht zu schwächen und endeckt zu werden, also liegt es auf der hand das ein scanner einen stro nimmt. die ranges die er gescannt hat und die ergebnisse daraus also meist port 1433 jagt er dann durch nen bruter und schwups hat er nen zugang zu einem server. naja was dann damit machen kann muss man hier ja nicht erläutern. aber nur zu eurer beruigung dfind reicht nicht aus um euch schaden anzurichten. nunja @raphael die loggfile wird von nem guten haxx0r immer gelöscht.
Immer diese möchtegern “Hacker”.
Lustig wird’s dann, wenn die Logs zusätzlich auf einen anderes Share kopiert werden – da will ich mal sehen, wie ihr mal locker flockig die auch noch löschen wollt ;o)
w00tw00t.at.ISC.SANS.DFind: Angriffe bis auf Apache Absturz.
Also bei mir Stürzt Apache nach monatelangen ungültigen Anfragen ab und der Speicher reicht nicht mehr aus für ein sauberes Hochkommen…
[Wed Mar 11 15:41:02 2009] [error] [client 12.231.176.155] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Mar 11 23:26:09 2009] [notice] caught SIGTERM, shutting down
Und das wichtigste ist eigentlich das hier mit dem zuwenigen Speicher: Sagenhafte 23 Byte!!!
Allowed memory size of 33554432 bytes exhausted (tried to allocate 23 bytes)
Also wer meint es sei nur ein Analysetool irrt sich gewaltig.
…………….
@Frechdi … streng dein hirn an und überleg was dir diese Fehlermeldung sagt … Ich übersetzte es dir…
Verfügbare Speichergröße von 32 MB wurde überschritten (bei dem versuch ihn mit weiteren 23 Byte zu belegen)
Das weißt auf ein Skript hin, was abgebrochen wird. Noch lustiger – es ist eine PHP Fehlermeldung, welche auftritt – wenn man eine Schleife unsauber verwendet hat – oder mit großen dateien arbeitet.
Also hat es nichts mit dem Tool zu tun …
:wink:
kein sinn fuer humor :)
ja, uns haben die DFind Anfragen heute auch unseren Apach2 lahmgelegt!:twisted:
Ja .. hier auch gestern …
“In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen”
In so einem Fall melde ich das immer sofocht an die Abuse Adresse im Ripe…. das hat schon einigen Servern das Kabel gekostet!
Laesst sich auch prima automatisieren.
Korrekt, dfind ist ein reiner Portscanner.
Damit wird meist auf p21, p80 und p1433 gescannt, also vorscannen für anonym sowie test-logins auf FTP-Servern sowie pma und sql, zum aufsetzen von str0s über Serv-U auf dem jeweiligen Teil – bei pma und sql meist ausgehend von bereits gehackten str0s, da Inet anbieter diese Scanns nach Schwachstellen mit
bösen Briefen unterbinden.
Wer seinen Server nicht secured ist selbst schuld, selbst wenn der Server nicht viel Platz zum drauffillen und verbreiten von Warez bietet, wird eben ein neuer Scanstro draus und der gescannte Server wird zum nächsten Scanny und durchsucht wieder andere… Regelmäßig updaten und Securen, vor allem in bekannten Hoster Ranges von FR, UK, USA und NL, die werden ständig angegriffen.
Deine Wichtigtuerei wird durch Deine saublöde Wort- und Begriffswahl nochmal getoppt. Gar nicht cool.
Sehr seltsam, was macht man wenn da nichts von ISC.SANS.DFind steht sondern:
Was hat es mit diesem w00tw00t.at auf sich?
Sollte ein Scanner derselben Gattung sein (Genaues konnte ich leider nicht darüber herausfinden) – aber es handelt sich definitiv um einen Massenscan, der nach Schwachstellen in bestimmten Anwendungen (z.B. phpMyAdmin) sucht.
Es gilt dasselbe wie oben beschrieben: Server sichern, Anwendungen aktuell halten, keine qualitativ fragwürdigen Plugins für Webanwendungen installieren, Anwendungen wie phpMyAdmin nicht unter “Standard-Pfaden” und vor allem nicht ohne IP-Beschränkung bzw. extra Passwortschutz (z.B. via HTTP-Basic-Authentication) ablegen. Damit ist man bereits vor einer Vielzahl von Angriffen geschützt…
Angriffsversuche gehen weiter…
In letzter Zeit wurden die Server meines Hosters schon zweimal lahmgelegt (DDOS-Angriff) und heute konnte ich in meinen Logs ein Hackertool ausfindig machen welches es auch bei mir versuchte. Er bekam natürlich eine 400er Fehlermeldung. Trotzdem merkwü…
Jetzt wird es lustig. In einer immer wieder fehlerhaft übertragenen Datei vom Serverlog steht immer dasselbe…nämlich
77.92.150.62 – - [24/Dec/2010:00:14:09 +0100] “GET /w00tw00t.at.ISC.SANS.DFind” 400 547 “-” “-”
Manchmal auch ohne Übertragung des UserAgents. Lediglich das Datum ändert sich immer…es ist immer das aktuelle Datum…aber
… das Datum der Datei ist von 1970. ;)