Lundi 27 avril 2009 1 27 /04 /Avr /2009 15:49

w00tw00t.at.ISC.SANS.DFind : une manière simple pour s'en débarasser

The image “http://security.maruhn.com/iptables-tutorial/images/rc_DHCP_firewall.jpg” cannot be displayed, because it contains errors.

Si vous avez un serveur apache qui tourne et vous avez accès aux log il est plus que probable que tu ai déjà vu ce genre de logs :
 213.211.134.23 [date] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400

Ce n'est enfait qu'un scanner de vulnérabilités (DFind) sans grand intérêt si ce n'est qu'il pollue en permance vos logs. et ca ca fait chier ...

Au lieux d'installer des utilitaire qui analyse les logs et companie, on va jouer avec iptable, le super firewall de linux, en ligne de commande :

 iptables -I INPUT -d IP_DE_TON_SERVER -p tcp --dport 80 -m string --to 70 \ --algo bm --string 'GET w00tw00t.at.ISC.SANS.' -j DROP

et le probleme sera résolu, dès que dans la requete il trouvera w00tw00.... il drop le paquet et fini les long log polués !

Enjoy !
Dax?

article complet et explications ici
Par Dax - Publié dans : Internet
Ecrire un commentaire - Voir les 1 commentaires
Retour à l'accueil

Liens directs



Abonnez-vous !!

img390/6480/feedburnerlogo55hcopiefy0.png

 

Rechercher

 

Articles récents

Liste complète

 

Recommander

Partager ce blog

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus - Articles les plus commentés