OVH Community, your new community space.

Web scanner w00tw00t.at.ISC.SANS.DFind


raffo
27.11.2011, 18.25
Bloccare tutti gli ip che effettuano uno scan con il user_agent "w00tw00t.at.ISC.SANS.DFind" non e' una buona soluzione semplicemente perche' chi effettua lo scan puo camuffare questo parametro e mischiarsi con il traffico normale.

Cio che consiglio di fare per rendere gli scan http inutili e' di seguire i suggerimenti PCI compliance. Ovvero nascondere la versione di ogni applicazione (apache, php..) disabilitare etag, trace mode ecc ecc..

In modo che lo scan non rilevi possibili falle sapendo le versioni del software utilizzato e i metodi http accettati dal webserver.

dopo questi accorgimenti fate un test con nikto o nessus.

dc94
27.08.2011, 08.47
salve
io ho trovato sul forum Usa di OVH il seguente Topic
http://forum.ovh.co.uk/showthread.php?t=4335
spero che possa essere utile a qualcuno

Napdj
03.09.2009, 17.57
ragazzi come faccio a creare quello scripts su ubuntu desktop.ho avuto anche io questi problemi e da quello che ho notato ci sono anche macchine su ovh che hanno effettuato quello scan dai miei log di apache

principino1984
24.08.2009, 16.53
Premessa:

Centos5 64bit
Directadmin

ok...contrordine...sono tornati online i vari file...ho installato tutto e ho configurato fail2ban con queste configurazioni:

Codice:
# Fail2Ban configuration file
#
# Author: Sonic
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P\S+)
# Values:  TEXT
#
failregex = .*\[client \] client sent .* \/w00tw00t\.at\.ISC\.SANS\.DFind.* 

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
Ho modificato il il file: /etc/fail2ban/jail.conf
e alla fine ho messo:

[apache-w00t]

Codice:
enabled = true
port = 80
filter = apache-w00t
logpath = /var/log/httpd/error_log
action = iptables-allports
         sendmail-whois[name=w00t, dest=XXXXXX@gmail.com]
maxretry = 1
e naturalmente il buon fail2ban ha iniziato a lavorare subito ... ho sbagliato in qualcosa o no? Il file di configurazione l'ho lasciato intatto senza modificare nulla a parte il finale per aggiungere il filtro al w00t

Marco

principino1984
24.08.2009, 16.08
come avete risolto questo problema quindi?

io ho un server con centos e non riesco a trovare fail2ban xkč gli indirizzi sono offline

la guida che seguo per installare tutto č questa:

http://www.my-whiteboard.com/linux-a...at-centos.html

Che mi consigliate di fare quindi?

Marco

Maurizio1230
26.03.2009, 16.57
Comuque fail2ban dovrebbe funzionare. giusto?
MnEm0nIc, non ricordo, ma io ti ho contattato via msn? Vorrei parlarti di un progetto

MnEm0nIc
23.03.2009, 17.22
Citazione Originariamente Scritto da chipreka
Ma facendo sempre insert di nuove righe (e non un update della riga) nella tabella di iptables non si otterrą una tabella lunghissima?
sicuramente si, pero' usando un po' di inventiva e un po' di bash, puoi fare in modo che questi ip finiscano in una tua catena "custom" di iptables e quindi facilmente riconoscibili per essere cancellati tipo una volta o due a settimana.

ciao

chipreka
22.03.2009, 21.32
Ma facendo sempre insert di nuove righe (e non un update della riga) nella tabella di iptables non si otterrą una tabella lunghissima?

chipreka
22.03.2009, 21.30
Ho usato anch'io questa soluzione dato che ho lo stesso problema

coppermine
12.12.2008, 19.07
Ottima soluzione. Gią messa in opera.

torpado
12.12.2008, 18.50
Citazione Originariamente Scritto da coppermine
E' uno scanner di vulnerabilitą, qualcuno č alla ricerca di qualche falla da sfruttare nei siti che ospiti.
Inizialmente pensavo potesse essere uno scanner lanciato da ovh stessa per sincerarsi dello stato di salute dei siti ospitati sui server dei clienti, ma forse ho lavorato troppo di fantasia.
Questo thread aiuta a creare lo script per bloccare questo Dfind scanner pulendo il log http ed aggiornando le iptable:
creare : wootwoot.sh copiando lo script verificando/modificando il percorso al log
chown +x wootwoot.sh
sh wootwoot.sh
far girare lo script ogni 30 minuti circa

Maurizio1230
12.12.2008, 18.42
Citazione Originariamente Scritto da coppermine
E' uno scanner di vulnerabilitą, qualcuno č alla ricerca di qualche falla da sfruttare nei siti che ospiti.
Inizialmente pensavo potesse essere uno scanner lanciato da ovh stessa per sincerarsi dello stato di salute dei siti ospitati sui server dei clienti, ma forse ho lavorato troppo di fantasia.
siamo in 2 allora

coppermine
12.12.2008, 18.24
E' uno scanner di vulnerabilitą, qualcuno č alla ricerca di qualche falla da sfruttare nei siti che ospiti.
Inizialmente pensavo potesse essere uno scanner lanciato da ovh stessa per sincerarsi dello stato di salute dei siti ospitati sui server dei clienti, ma forse ho lavorato troppo di fantasia.

coppermine
12.12.2008, 18.13
Googolare č stata la prima cosa che ho fatto, ma non ho trovato molto a livello di soluzioni (bloccare l'ip non č una soluzione utile nel mio caso).

Bhe diciamo che non guardo direttamente nel log tutti i giorni, controllo spesso la pagina del modstatus e ho trovato quella stringa, al che ho controllato a fondo nel log.

Maurizio1230
12.12.2008, 18.12
l'avevo notato anche io (dai miei logs), ma non ho ancora capito che cosa č

sdi
12.12.2008, 17.57
ciao,

come sempre google ti da la risposta.

Vorrei avere il tuo tempo a guardarmi i log del webserver

coppermine
12.12.2008, 15.19
Da quando mi sono spostato su ovh continuo a rilevare nei log di apache le attivitą di uno scanner.

In particolare mi riferisco a "w00tw00t.at.ISC.SANS.DFind HTTP/1.1". Volevo sapere se rientra nel servizio di monitoraggio di servizi offerto dal provider o se č una attivitą di qualcuno esterno che saggia le vulnerabilitą del webserver. Qualora si trattasse del secondo caso, esiste un modo per debellarlo (ovviamente l'ip dello scanner cambia e non č possibile bloccarlo da firewall)?