w00tw00t.at.ISC.SANS.DFind

23 de marzo de 2009

Hace unas semanas en SecurityByDefault se discutía de la presencia de unas peticiones raras en los servidores Web.

Peticiones del estilo: GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1

Varias y varias de estas peticiones se pueden encontrar continuamente en los logs de los servidores web. Aparentemente peticiones que no acaban en ningún ataque concreto. Aun teniendo la posibilidad de analizar la tool DFind se apresuran a decir que no puede ser este escaner el que genera ese tráfico.

Pues bien, Dfind es un escaner de puertos que al generar sus peticiones coloca "w00tw00t.at.ISC.SANS.DFind". Este escaner se puede bajar de heapoverflow.

Aquí tenéis unas cuantas capturas de la aplicación y de la captura del tráfico:









1 comentarios:

Yago Jesus dijo...

Compañero, yo 'no me apresuro' a decir que no es esa herramienta, cito al propio SANS que lo marca como culpable; lo que digo es que, siendo una herramienta no muy extendida (no es el Nmap ...) no entiendo como mi web personal, que tiene un tráfico relativamente bajo, acumula del orden de 100 / 150 entradas al mes como la del WOOtw00t. Lo que me lleva a preguntarme si habrá mas motivos. Es una cuestion de probabilidades, como es posible que una herramienta con baja difusión, se la bajen las suficientes personas como para generar esa cantidad de logs en mi web.