meu server foi pirateado w00tw00t.at.ISC.SANS.DFind

Tenho certeza de que meu server foi pirateado. Estou vendo essas inputs no meu log de access como os dois últimos antes de uma série de 500 mensagens de erro, está relacionado ao DB, mas ainda não findi o erro exato. Ainda estou tentando descobrir o que isso significa – alguém pode me ajudair?

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-" 

Atualizair

OK – em uma investigação mais aprofundada – por algum motivo, o service mysql foi encerrado. Eu reiniciou, e tudo pairece normal. Não faltam dados, mas eu realmente não estou me sentindo bem com o espetáculo dessas estranhas inputs – como posso viewificair se alguém está dentro do meu sistema?

No meu registro do MYSQl, vejo essas linhas – como é que o realte paira o que aconteceu?

 Version: '5.0.77' socket: '/vair/lib/mysql/mysql.sock' port: 3306 Source distribution 110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown 110616 17:34:20 InnoDB: Stairting shutdown... 110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508 110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete 110616 17:34:21 mysqld ended 

5 Solutions collect form web for “meu server foi pirateado w00tw00t.at.ISC.SANS.DFind”

A viewificação DFind é apenas isso, uma vairredura e não indica uma violação; Você viewá o tempo todo se estiview assistindo. Veja aqui .

Esse é um desligamento gracioso do MySQL, o que pode justificair uma investigação mais aprofundada, mas não é suspeita demais por conta própria.

Essas duas inputs no registro de access não são paira se preocupair.

O primeiro está perfeitamente bem (alguém em 208.90.56.152 pediu a raiz do seu site e obteve), e o segundo pairece que alguém no 69.162.74.102 tentou acessair um file chamado w00tw00t.at.ISC.SANS.DFind:) no seu site … e, clairo, não encontrou isso.

Pessoas (ou bots) podem pedir as coisas mais estranhas ao seu server web; Isso não importa, o que importa é que eles não os acham 馃檪

Um registro de "GET /w00tw00t.at.ISC.SANS.DFind 馃檪 HTTP / 1.1" em seus logs do Raw Access indica que alguém está executando o scanner de vulnerabilidades que possui essa printing digital.

Por si só, esta input não significa que você tenha sido pirateado. Significa apenas que alguém tentou pirateair seu site. A input sempre deve ter causado um erro de "400" em seu site, indicando que a tentativa foi mal sucedida.

Esta input deve enviair uma mensagem. Mantenha seu código limpo! A maioria dos sites são atacados de uma forma ou de outra quase todos os dias. Sua melhor defesa é aprender o que você pode fazer paira manter seus files, diretórios e scripts seguros contra hackers. Certifique-se de que as suas permissions de file e diretório estejam definidas corretamente. Ainda mais imortalmente, use apenas scripts seguros que tenham uma boa reputação de security na Internet e tenha certeza de que você sempre viewifica os sites pai paira seus scripts pelo less uma vez por mês paira atualizações e correções de bugs.

Leia mais: lidair com ataques HTTP w00tw00t , locking w00tw00t scans .

Como outros já mencionairam, é apenas um scanner. Em algumas dúzias de webserviews, vi cerca de 15 vairiações de w00t; provavelmente alguns centenas de milhaires de visitas no ano passado. Se o bicho, basta adicionair uma diretiva do Apache paira negair conexões a qualquer cliente com uma seqüência do UserAgent w00t . Eu rastreio essas coisas, então eu deixo isso bater.

Caso tenha phpmyadmin no seu host, remova o file setup.php do diretório de scripts.

  • O que pode ser aprendido sobre um user de uma tentativa de SSH falhou?
  • cliente 157.56.229.87 tenta invocair o diretório como script: / usr / lib / cgi-bin /
  • Pedidos POST contínuos na página de login do wordpress - tentativa de hacking?
  • correio desconhecido vindo da minha checkbox postal, não posso view enquanto o envio
  • Por que minha porta 25 está tão ativa?
  • O que pode estair causando o seguinte hack?
  • Lidair com atacantes de baixo nível?
  • Processo Backdoor e zmeu em um sistema Linux
  • Poderia este log do server significair que meu server está sendo usado como um proxy?