我注意到这些线在我的apache日志
[Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) 来自以下IP地址:
184.73.216.225 208.109.154.93 216.205.76.228 74.86.23.51
错误信息是什么意思,这些人试图做什么?
只是有人用DFind扫描你寻找常见的PHP软件的漏洞。 你probaby在你的错误日志中有更多的404。
把这个在dfind.ban
cat /path/to/error.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > dfind.ban
使其可执行并运行它,你将禁止所有用dfind扫描你的人。
您也可以使用以下方法直接禁止他们:
iptables -I INPUT -d 127.0.0.1 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP
将127.0.0.1replace为您的networking服务器IP。
资料来源: http : //blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/
扫描漏洞是Web服务器生活的一部分。 你可以尝试阻止他们,但最终你可能会受到更多受感染PC的扫描,而不是你能够保持领先。
积极主动: