ISC.SANS.DFind:) Logfile Eintraege?

S

\^sk\$

Well-Known Member
Hallo,

ich bekomme regelmaessig folgende GET Requests:
Code: 
[SIZE="1"]
72.232.246.90 - - [14/Apr/2007:14:38:35 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.246.90 - - [14/Apr/2007:15:48:10 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
87.106.82.115 - - [14/Apr/2007:18:57:02 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.246.90 - - [15/Apr/2007:07:42:52 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [15/Apr/2007:20:31:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [15/Apr/2007:22:36:01 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:17:08:25 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:19:04:37 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
81.21.78.82 - - [16/Apr/2007:19:11:32 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:22:24:41 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [17/Apr/2007:16:56:49 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [17/Apr/2007:19:50:08 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:01:22:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:13:43:27 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:19:53:38 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:00:19:11 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
87.106.82.115 - - [19/Apr/2007:13:58:53 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
216.183.252.253 - - [19/Apr/2007:14:56:30 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:17:57:09 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:19:32:46 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.8.226 - - [19/Apr/2007:19:52:58 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
[/SIZE]


Weiss jemand was das ist?
 
\^sk\$ schrieb:
Hallo,

ich bekomme regelmaessig folgende GET Requests:
Code: 
[SIZE="1"]
72.232.246.90 - - [14/Apr/2007:14:38:35 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.246.90 - - [14/Apr/2007:15:48:10 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
87.106.82.115 - - [14/Apr/2007:18:57:02 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.246.90 - - [15/Apr/2007:07:42:52 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [15/Apr/2007:20:31:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [15/Apr/2007:22:36:01 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:17:08:25 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:19:04:37 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
81.21.78.82 - - [16/Apr/2007:19:11:32 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [16/Apr/2007:22:24:41 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
212.241.248.10 - - [17/Apr/2007:16:56:49 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [17/Apr/2007:19:50:08 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:01:22:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:13:43:27 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [18/Apr/2007:19:53:38 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:00:19:11 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
87.106.82.115 - - [19/Apr/2007:13:58:53 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
216.183.252.253 - - [19/Apr/2007:14:56:30 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:17:57:09 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
83.98.156.103 - - [19/Apr/2007:19:32:46 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
72.232.8.226 - - [19/Apr/2007:19:52:58 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
[/SIZE]


Weiss jemand was das ist?
Zum Vergrößern anklicken....

Hallo \^sk\$,

also hast Du zwar nicht geschrieben, aber das sieht mir stark nach dem Indianer ( Apachen ) access.log aus....

So da will Dir einer ein gecracktes Php File unterjubeln und der Apache sagt dann das kannste Dir dahin stecken wi es bei Dir am Dunkelsten ist :D
Also keine Sorge alles soweit im Grünen Bereich...
Sorgen musste Dir nur machen wenn es ein 400 Bad Request ist ...

Manchmal verursachen das aber auch solche netten Sachen wie
DFind Web Application Vulnerability "security" scanner wie zb Nessus und Konsorten..

http://www.admin-wissen.de/tutorial...wicklung/ajax-tutorial/post-und-get-requests/

gruss rudy

achso ganz vergessen schau mal hier :

http://isc.sans.org/diary.html?storyid=900

hoffe ich konnte Dir ein wenig helfen :)
 
Zuletzt bearbeitet:
Hallo,

ich wollte eigentlich keine technische Analyse was im Log passiert, sondern mehr ueber
die Hintergruende dieses Scanners erfahren. (Geheimdienste?, Kiddies?, kaputte Clients, Windows Tool ja/nein usw.)

mittlerweile habe ich ein Statement vom SANS gefunden, das es ein Scanner ist, ich such
mal den Source-Code
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben