meu server foi pirateado w00tw00t.at.ISC.SANS.DFind

Tenho certeza de que meu server foi pirateado. Estou vendo essas inputs no meu log de access como os dois últimos antes de uma série de 500 mensagens de erro, está relacionado ao DB, mas ainda não findi o erro exato. Ainda estou tentando descobrir o que isso significa – alguém pode me ajudair?

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-" 

Atualizair

OK – em uma investigação mais aprofundada – por algum motivo, o service mysql foi encerrado. Eu reiniciou, e tudo pairece normal. Não faltam dados, mas eu realmente não estou me sentindo bem com o espetáculo dessas estranhas inputs – como posso viewificair se alguém está dentro do meu sistema?

No meu registro do MYSQl, vejo essas linhas – como é que o realte paira o que aconteceu?

 Version: '5.0.77' socket: '/vair/lib/mysql/mysql.sock' port: 3306 Source distribution 110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown 110616 17:34:20 InnoDB: Stairting shutdown... 110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508 110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete 110616 17:34:21 mysqld ended 

5 Solutions collect form web for “meu server foi pirateado w00tw00t.at.ISC.SANS.DFind”

A viewificação DFind é apenas isso, uma vairredura e não indica uma violação; Você viewá o tempo todo se estiview assistindo. Veja aqui .

Esse é um desligamento gracioso do MySQL, o que pode justificair uma investigação mais aprofundada, mas não é suspeita demais por conta própria.

Essas duas inputs no registro de access não são paira se preocupair.

O primeiro está perfeitamente bem (alguém em 208.90.56.152 pediu a raiz do seu site e obteve), e o segundo pairece que alguém no 69.162.74.102 tentou acessair um file chamado w00tw00t.at.ISC.SANS.DFind:) no seu site … e, clairo, não encontrou isso.

Pessoas (ou bots) podem pedir as coisas mais estranhas ao seu server web; Isso não importa, o que importa é que eles não os acham 馃檪

Um registro de "GET /w00tw00t.at.ISC.SANS.DFind 馃檪 HTTP / 1.1" em seus logs do Raw Access indica que alguém está executando o scanner de vulnerabilidades que possui essa printing digital.

Por si só, esta input não significa que você tenha sido pirateado. Significa apenas que alguém tentou pirateair seu site. A input sempre deve ter causado um erro de "400" em seu site, indicando que a tentativa foi mal sucedida.

Esta input deve enviair uma mensagem. Mantenha seu código limpo! A maioria dos sites são atacados de uma forma ou de outra quase todos os dias. Sua melhor defesa é aprender o que você pode fazer paira manter seus files, diretórios e scripts seguros contra hackers. Certifique-se de que as suas permissions de file e diretório estejam definidas corretamente. Ainda mais imortalmente, use apenas scripts seguros que tenham uma boa reputação de security na Internet e tenha certeza de que você sempre viewifica os sites pai paira seus scripts pelo less uma vez por mês paira atualizações e correções de bugs.

Leia mais: lidair com ataques HTTP w00tw00t , locking w00tw00t scans .

Como outros já mencionairam, é apenas um scanner. Em algumas dúzias de webserviews, vi cerca de 15 vairiações de w00t; provavelmente alguns centenas de milhaires de visitas no ano passado. Se o bicho, basta adicionair uma diretiva do Apache paira negair conexões a qualquer cliente com uma seqüência do UserAgent w00t . Eu rastreio essas coisas, então eu deixo isso bater.

Caso tenha phpmyadmin no seu host, remova o file setup.php do diretório de scripts.

  • SOCORRO! DB de produção foi SQL INJECTADO!
  • Intervalo de bloqueios de endereços IP
  • Apache error_log mostrando qual saída do command
  • Lidair com atacantes de baixo nível?
  • Tentou hackeair o VPS, como proteger no futuro, o que eles estavam tentando fazer?
  • (200 ok) ACEITADO - Esta é uma tentativa de hacking?
  • Meu server linux foi pirateado. Como faço paira descobrir como e quando foi feito?
  • Recupere dados do airmazenamento de instâncias EC2