rk_journal

6. Oktober 2007

w00tw00t.at.ISC.SANS.DFind

Geschrieben von raphael um 00:46 in IT
Tags: ,

Schon seit längerem sind in den (Apache-)Logs meines neuen Servers einige seltsame Zeilen zu finden, denen ich dann zuweilen mal nachgehe. Folgendes Rätsel ist gelöst (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen - Leute, sichert Eure Server!

4 Kommentare to ' w00tw00t.at.ISC.SANS.DFind '

Abonniere Kommentare mit RSS oder TrackBack zu ' w00tw00t.at.ISC.SANS.DFind '.

  1. Torsten Zuther sagte:

    Hallo, habe dieses log auch auf meinem Miniwebserver gefunden , wie sehe ich , ob Schaden angerichtet wurde , können daten gelesen worden sein, der Angriff wurde als bad gekennzeichnet

    24. Januar 2008 um 08:58

  2. raphael sagte:

    Meines Wissens nach ist DFind nur ein Vulnerability Scanner, kein Penetration Tool. Es scannt also vorerst nur nach Schwachstellen - ob es welche gefunden hat und die wiederum mit diversen Exploits ausgenutzt wurden, kannst Du so nicht feststellen. Es geht wohl hauptsächlich um Schwachstellen in Server-Anwendungen, hier hilft also regelmäßiges Updaten.

    Ob ein Angriff / Einbruch erfolgte, kann wohl nur durch Lesen der Logfiles oder das Scannen mittels Rootkit-Scannern (wie z.B. rkhunter) herausgefunden werden - wenn überhaupt.

    24. Januar 2008 um 14:31

  3. d3hann3s sagte:

    :mrgreen::mrgreen::mrgreen::mrgreen::mrgreen:
    ich finde es lustg.
    ok mal zur erklärung von dfind, raphael hat recht es ist einfach nur ein scanner mit dem man auf ftp, mmsql scannt. entweder macht man das von zuhause aus mit nem proxy oder man nimmt einen scann stro um seine eigenen pc resurcen nicht zu schwächen und endeckt zu werden, also liegt es auf der hand das ein scanner einen stro nimmt. die ranges die er gescannt hat und die ergebnisse daraus also meist port 1433 jagt er dann durch nen bruter und schwups hat er nen zugang zu einem server. naja was dann damit machen kann muss man hier ja nicht erläutern. aber nur zu eurer beruigung dfind reicht nicht aus um euch schaden anzurichten. nunja @raphael die loggfile wird von nem guten haxx0r immer gelöscht.

    14. Juli 2008 um 08:38

  4. Lee sagte:

    Immer diese möchtegern “Hacker”.
    Lustig wird’s dann, wenn die Logs zusätzlich auf einen anderes Share kopiert werden - da will ich mal sehen, wie ihr mal locker flockig die auch noch löschen wollt ;o)

    31. Juli 2008 um 19:47

Hinterlasse einen Kommentar

:mrgreen: :neutral: :twisted: :shock: :smile: :???: :cool: :evil: :grin: :oops: :razz: :roll: :wink: :cry: :eek: :lol: :mad: :sad: