Bloquer les scans de vulnérabilité de script w00tw00t

les Scripts w00tw00t, qu’est ce que s’est ?

Les Scripts w00tw00t sont des scanner de vulnérabilités sur votre serveur de type Dfind.

Dfind port scanner effectue un balayage des ports ouverts (en anglais port scanning) sur un hôte distant.

Ce balayage va déterminer les ports ouverts sur un système en envoyant des requêtes successives (aussi appelée sondes) et analyser les réponses afin de déterminer lesquels sont actifs.

En analysant très finement la structure des paquets TCP/IP reçus, les scanners de vulnérabilité va déterminer le système d’exploitation de la machine distante ainsi que les versions des applications associées aux ports actifs.

Si les applications associées présentent des failles de sécurité, le hacker trouve une backdoor pour pénétrer dans le serveur.

Enfin, il faut noter que le scan de vulnérabilité, avec d’autres outils comme Nessus, est aussi utilisé par les experts en sécurité réalisant des Pentest pour voir la fiabilité et les mise à jour à effectuer sur une machine.

Recherche rapide de tentatives scan de vulnérabilité par w00tw00t :

Voici une commande qui permet de faire une recherche rapide de scan par w00tw00t :
Shell

grep -R 'w00tw00t' /var/log

Shell Answer

/var/log/nginx/access.log.1:167.114.47.254 - - [10/Jun/2015:05:35:49 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 166 "-" "-"

Solution 1 – Ajouter une règle iptables :

Nous allons utiliser IP pour bloquer les attaques de scripts w00tw00t :
Shell

iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 70 --algo bm --string 'w00tw00t' -j DROP

Remplacer xxx.xxx.xxx.xxx par l’adresse IP de votre machine

Par rapport à l’article de référence sur le sujet, j’ai fait une petite modification dans la ligne de commande :
‘w00tw00t’ au lieu de ‘GET/ w00tw00t’ car le GET/ n’est pas toujours présent.

Solution 2 – Nouvelle règle fail2ban :