Requests with error response codes

[michael-08]

Hallo, ich habe heute bei meinem Logwatch Report folgenden auszug erhalten:

--------------------- httpd Begin ------------------------


 Requests with error response codes
   400 Bad Request
      /w00tw00t.at.ISC.SANS.DFind:): 2 Time(s)
   404 Not Found
      http://www.alpinebouldercompany.com/images/boulder3.jpg: 1 Time(s)

 ---------------------- httpd End -------------------------

Wie kommt sowas zustande?

Edit: Habe wohl doch noch Informationen ergooglen können:

http://raphael.kallensee.name/journal/w00tw00tatiscsansdfind/

Jemand scannt mich wohl eventuell

 

[michael-08]

Ich weiß nun nicht ob ich das hier so posten darf (wenn nein bitte ich vielmals um entschuldigung) (hab zumidnest nichts in den Forenregeln gefunden) Aber kann mich bitte mal jemand aufklären?

Ich wurde schon wieder gescannt von "w00tw00t.at.ISC.SANS.DFind"

Wenn ich eine whois Abfrage mit w00tw00t.at mache kommt folgendes dabei heraus:

Whois-Abfrageergebnis:

domain:         w00tw00t.at
registrant:     DG3244823-NICAT
admin-c:        DG3244823-NICAT
tech-c:         CAPI1725059-NICAT
nserver:        docks12.rzone.de
remarks:        8(...)2
nserver:        shades20.rzone.de
remarks:        8(...)50
changed:        20080228 22:31:27
source:         AT-DOM

personname:     D**** G*****
organization:   
street address: R*******e XX
postal code:    4XXXX
city:           HXXXX
country:        Germany
phone:          +4XXXXXXXXXXX
e-mail:         hXXXXXXXX@gmx.de
nic-hdl:        XXXXXXXXX3-NICAT
changed:        2XXXXX28 21:00:46
source:         AT-DOM

personname:     Hostmaster Strato Rechenzentrum
organization:   Cronon AG Professional IT-Services
street address: Emmy-Noether-Str. 10
(...)

Kann man sowas auf diese Person rückschliessen oder nicht ? Ist diese Domain nun so eizuordnen?

 

[Thorsten]

Hallo!
Das dürfte mit der Domain eher gar nichts zu tun haben. Siehe http://isc.sans.org/diary.html?storyid=900.

mfG
Thorsten

 

[michael-08]

Naja, also die Domain scheint es wohl länger zu geben und eine "Plesk" Startseite ist dann schon eher merkwürdig! Man kann nun auch keine Rückschlüsse draus ziehen nur weil mit der Domain scheinbar nichts gemacht wird, aber einen Reim kann ich mir daraus keinen machen!

 

[Thorsten]

Hallo!
Also das Ganze ist ja eher eine globale Verschwörung die ursprünglich aus Mitteln Kubanischer Waffenverkäufe und Experimenten am Malaiischen Holzborkenkäfer knaka-cububus-curculionidae-elephantidae finanziert wurden.

Eine Splittergruppe der Organisation w00tw00t wurde 1978 in Bielefeld vom BKA aufgedeckt. Letzten Endes geht es um die Anwerbung von Apache Webserver Administratoren, die durch gezielt eingesetzte und extrem verwirrende Fehlermeldungen gefügig gemacht werden sollen, sich einer hinduistischen Untergrundorganisation anzuschließen, die über Genmanipulation an Kinderriegeln die Weltherrschaft an sich reißen wollen.

Leider wurde durch dich jetzt eine von zwei noch intakten Internetpräsenzen entdeckt.

Tiefe Stimme aus dem Off: Mein Lord, diesmal ist die Dunkle Seite der Macht gescheitert...

 

[Valentin]

Eine Splittergruppe der Organisation w00tw00t wurde 1978 in Bielefeld vom BKA aufgedeckt.

Wobei bis heute immer noch nicht geklärt ist, ob Bielefeld überhaupt existiert.
Gerüchten zu Folge soll die CIA in Verbindung mit dem Mossad eine Tarnvorrichtung um die Stadt errichtet haben, die alle Blicke auf ein Dorf im ehemaligen Luna-Mission-Studio von 1969 weiter leitet.

PS: w00t.w00t dürfte wohl vielen Administratoren bekannt sein, ich erhalte auch regelmäßig Besuche

 

[michael-08]

Ob das jetzt eine Verarschung sein soll oder nicht weiß ich nicht, aber es ist gut möglich, dass die Person die den Server gemietet hat gar nicht existiert?!

Ich würd nur gern wissen, wie ich das unterbinden kann! Die IP werde ich mal manuell sperren und schauen ob sich das dann klären konnte. Wenn nicht es ist wohl nur eine "Fake IP" oder dergleichen!

 

[Thorsten]

Hallo!
Das ist ein ganz normaler Rootserver bei Server4You. Sperr die IP via iptables und gut ist.

mfG
Thorsten

 

[michael-08]

So, nach ca. 10 Tagen scan täglich, weiß ich das mindesten 7 verschiedene IP Adresen mich scannen! Ist mal nervig. Ich will niemanden vor meiner Haustür der immer schaut ob ein Schlüssel darunter liegt!

Im Grund ist sowas schon eine Bedrohung weil im Falle eines "Bugs" weiß ich das dieser w00tw00t.at Scan wohl vorher davon erfährt wie ich. Somit "gestatte" ich ihm ja schon quasi den Zutritt wenn ich das nicht unterbinde!

Ich denke es macht wenig Sinn die ganzen Ips zu sperren, da das wohl nicht aufhört. Neue IPs bekommt man auch recht simple einfach und schnell und kosten teilweise nur 50cent im Monat!

Kann ich diese Art Verbindung nicht anders unterbinden? Ich möchte den http Port ja nur für den Websiten besuch aufmachen. Nicht um gescannt zu werden.

 

[HxD]

Also, um mal den Wirwarr um die Thematik aufzuklären... Der Besitzer von w00tw00t.at hat reingarnichts mit der Domain oder etwaigen Angriffen zutun! Der Besitzer der Domain hat sich irgendwann mal diese Domain gekauft, weil er Sie "toll" fand, wie auch immer, im Enddeffekt ist nur wichtig zu wissen, das dieser Fingerprint von jedem betriebenen D-Find ausgeht, sprich jeder der mit D-Find ne Range abscannt, hinterlegt mit seiner IP Automatisch diesen Fingerprint, der Entwickler hat wohl irgendwie ma spass gehabt, diesen Fingerprint einzufügen und der Besitzer der Domain hat jetzt den Salat ^^

Findige Scanner sind so klug und ändern diesen Fingerprint von ihrer D-Find Version in irgendetwas "glaubwürdigeres" - Daher kannst du nichts machen, als für solche Fälle IP-Tables zu erstellen, nur um es nochmnal ganz klar zu machen:

Diese "Angriffe" wie auch immer - welche im Grunde nur Rangescans sind - kommen NIE von der gleichen Personen, daher kommen auch jeden Tag aufs neue andere IP´s usw...

Im Grunde kann man dagegen nichts machen, also einfach ignorieren oder ggf. entsprechende Logeinträge direkt rauslöschen lassen ( Hatte irgendwo mal nen Tutorial dafür, glaube sogar, das es hier im SSF stand, müsste man mal die Suche betätigen ^^ )

solong, HxD

 

[Mordor]

you made my day

 

[michael-08]

Das mag ich dir ja glauben H X, ich bezweifle auch gar nicht, dass w00tw00t.at nur so eine Art Domainsklave sein soll aber wie unterbinde ich diese Scans?

Falls ich mich mal mehr mit iptables beschäftigen werde/kann, greif ich mal auf die ganzen "Flags" zurück, die man blocken kann. Sodass nur eine bestimmte Flag auf den Port 80 zugreifen kann (was in diesem Falle Website besucher wären) Nur leider ist die Thematik mit den Flags noch etwas kompliziert!

Leider hab ich keine Idee ob das klappen kann

 

[Roger Wilco]

wie unterbinde ich diese Scans?

Webserver beenden und/oder Server herunterfahren.

 

[michael-08]

Auch eine Möglichkeit!

Dennoch gibt es die Paketfilterung bei iptables! Wenn ich mich damit etwas auseinander setze, erfahre ich vielleicht ob sich das mit dem Paketfiltern unterscheiden lässt!