Die oben erwähnte Anfrage ist ein Fingerprint von DFind. Eine Software (Haacktool.DFind), die Schwachstellen von Webservern ausfindig macht. Von der Firma Symantec wurde die Software als Hacker-Tool eingestuft, denn der Vulnerability Scanner (Portscanner) sucht nach offenen Server-Ports und auch nach Diensten. Die Software selbst nutzt scheinbar noch keine Schwachstelle aus, dafür liefert es einen Report über die gefundenen Anwendungen und sofern ermittelbar, ihre Versionsnummer und mögliche Schwachstellen an den Hacker.
Mögliche HTTP/1.1 Anfragen mit Fingerprints:
/w00tw00t.at.ISC.SANS.DFind
/w00tw00t.at.ISC.SANS.MSlog
/w00tw00t.at.ISC.SANS.test0
Lösung mit iptables:
Hiermit blocken wir die w00tw00t-Anfragen für den Port 80 (HTTP) und 443 (SSL) auf TCP-Basis. Eingetragen werden können die Regeln in der “/etc/rc.local”-Datei oder in eurer “/etc/iptables.rules”-Datei.
# drop w00tw00t attacks
iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP
iptables -I INPUT -p tcp --dport 443 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP
Wobei:
-p (or --protocol)
-m (or --match)
--algo {bm|kmp}
Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)
--to offset
Set the offset from which it starts looking for any matching. If not passed, default is the packet size.
[!] --string pattern
Matches the given pattern.
Mehr Infos unter:
http://blog.joergboesche.de/apache2-w00tw00t-at-isc-sans-dfind-server-portscan
http://ipset.netfilter.org/iptables.man.html