Авг 012012
 

На одном из моих серверов, налились сыпаться такие сообщения в лог вэб сервера.
Сканируют собаки сервер.

[Tue Jul 31 12:45:27 2012] [error] [client 72.9.159.168] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Jul 31 18:35:16 2012] [error] [client 159.253.142.18] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Jul 31 19:09:31 2012] [error] [client 94.199.241.136] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Jul 31 22:29:16 2012] [error] [client 213.248.47.229] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Aug 01 02:16:05 2012] [error] [client 72.9.159.168] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Не долго думаю решил заблочить этих редисок которые сканируют сервер моя.
Блокировать будет средствами iptables.

# iptables -I INPUT -d 89,45,18.8 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j LOG --log-level debug --log-prefix "#w00tw00t**"
# iptables -I INPUT -d 89,45,18.8 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Для этих правил понадобиться модуль iptables string. подгрузите этот модуль к iptables.
Где:
89,45,18.8 — IP адрес сервера.
I — правило создает лог таких запросов.
II — блокирует эти запросы.

  3 комментария to “Блокируем /w00tw00t.at.ISC.SANS.DFind:) с помощью iptables”

  1. О, спасибо.
    Избавили меня от назойливого бота.

  2. Фух, спасибо.
    Наконецто избавилась от бота назоливого.

  3. У меня, конечно, тоже сервер. Но дело в том, что он только на моей машине и со внешним миром (вроде-бы) сообщаться не должен. Эдакая песочница на дне некого vpn и 127.0.0.1 её фамилия и тут, вдруг:

    93.157.169.10 — — [05/Nov/2013:23:35:29 +0500] «\xac\xdcu\x9b\xd7%\x1fB\x9b\x1b\xe7\xf0k\xa5\xa2\xb6\xe1\x95\x07G\r#\x03\x13\x1f\xfc\xee\xe6p\xd1\x978\x12\xaf\x07 \x93\x95>\x1d\xc59\xfamxB\»» 400 226

    [Wed Nov 06 00:04:19 2013] [error] [client 129.206.229.104] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

    Спасибо за информацию.

 Leave a Reply

(required)

(required)

38 Запросов к базе. 0,363 Генерации страницы, 36MB Использование памяти.
Вы зашли с IP: 54.198.210.67