15 marzo 2009

El extraño caso de w00tw00t.at.ISC.SANS.DFind

En todos los ámbitos de la vida siempre hay fenómenos extraños, con diversas explicaciones que nunca llegan a ser totalmente esclarecidos.

El caso del que hablo hoy es un misterioso log que aparece en los servidores web sin una explicación aparentemente clara, el fenómeno se manifiesta en una entrada en los logs del servidor web similar a esta:

GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1

Si hacéis la pertinente búsqueda en google veréis miles y miles de entradas en foros y webs preguntando si eso se trata de algún troyano, vulnerabilidad en alguna aplicación o ataque.

En principio el hecho de que aparezca ISC.SANS da a pensar que se trate de algo relacionado con el prestigioso SANS, pero como se puede ver en su web, ellos niegan tener nada que ver y mencionan vagamente la existencia de un scaner de vulnerabilidades que, por la razón que sea, deja esa marca en los logs.

Mi experiencia es que, dado el volumen de peticiones que recibo, (unas 100 x mes) que no van acompañadas de ataques o pruebas de vulnerabilidades, me hace descartar que se trate de la herramienta que mencionan.

En algunos foros se dice que 'alguien' a quien no le cae bien el SANS se dedica a enviar ese tráfico hacia los servidores web para dañar la imagen.

Sea como fuere, lo tranquilizante del asunto es que, hasta que se demuestre lo contrario, esa petición web no supone riesgo alguno

4 comments :

Anónimo dijo...

dfind sí que produce estas entradas en el log...
http://amperis.blogspot.com/2009/03/w00tw00tatiscsansdfind.html

Yago Jesus dijo...

Tal y como respondía a Amperis, yo no digo que NO sea esa herramienta (cito en el articulo al SANS y su teoria) lo que digo es que no me cabe en la cabeza que una herramienta tan poco difundida, tenga el publico necesario como para generar del orden de 100 / 150 entradas en los logs del apache de mi web personal. Si profundizas un poco, veras que también se apunta en foros a 'algo mas'. De hecho, existen variantes del log con otros formatos. Creo que en la seguridad mas que en ninguna otra disciplina, se ha de tener una mente escéptica :)

Aleks dijo...

Definitivamente parece que son escaneos. Lo más curioso es que las IPs de las que recibo estas peticiones están alojadas en el mismo ISP.
Por si le sirve a alguien, dejo la regla de iptables que uso en mis servidores:

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

un saludo

Yago Jesus dijo...

@Aleks, genial contribución