我在第一个新的VPS上安装了Tomcat 6。 我已经将AccessLogValve添加到server.xmlconfiguration的Tomcat文件中。 在tomcat日志中,我首先看到:
xxx.xxx.xxx.xxx - - [04/Mar/2011:23:43:12 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 - "-" "-" 第二天,我去了这个网站(在互联网浏览器)在tomcat日志中的一个请求是与上述logging相同的IP,但与我的User-Agent头像(和会话cookie – 这我检查我的web应用程序日志)。
这是其他2个IP:“GET /w00tw00t.at.ISC.SANS.DFind :)”在晚上重复,然后在第二天劫持一个请求。 这怎么可能? 这3个IP来自2个国家(其中2个是我的VPS所在的国家)。
这只是一种机器人,扫描网站的漏洞。 我已经看过很多次了,只要您的服务器configuration正确并应用了所有的安全更新,这就不成问题了。
如果你仍然想禁止这个机器人拿这个文章的掠夺: http : //blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/
DLink漏洞扫描器