OVH Community, your new community space.

instrusion


Riemann
19/02/2009, 15:48
Hola, hace poco abrí un thread precisamente con este tema:

http://foros.ovh.es/showthread.php?t=3678

Pero parece que no hay mucha información al respecto. Los GET /w00tw00t.at.ISC.SANS.DFind podrían ser el rastro que deja un escaneador, que busca vulnerabilidades para atacar Apache HTTP.

Por si acaso, voy bloqueando con iptables todas las IPs que hacen esas peticiones. No son muchas, pero cada pocos días aparece alguna nueva... Y algunas, como la que tu indicas "94.23.19.121" son de OVH! Creo que deberíamos avisar a los propietarios de estas máquinas, ya que deben estar crackeados y quizás ni lo sepan.

Saludos

barbaro
18/02/2009, 19:01
Alguien sabe por que estos escaneos desde esta ip

94.23.19.121 - - [18/Feb/2009:19:06:15 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 226 "-" "-"

y añado otra pregunta,que significa esto?



208.80.194.122 - - [18/Feb/2009:19:51:18 +0100] "GET / HTTP/1.0" 200 3991 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SIMBAR={B034E354-80E1-4e95-87CB-A63442EC8482}; FunWebProducts; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"


gracias