Wat is "w00tw00t.at.ISC.SANS.DFind:)"?

21 augustus, 2014
Vragen & antwoorden
Beveiliging, Logbestanden

Het kan voorkomen dat de access en/of error logs van een webserver een verwijzing naar "w00tw00t.at.ISC.SANS.DFind:)" bevatten, of een variatie daarop. Dit is het resultaat van een softwareprogramma dat op geautomatische piloot het internet afstruint, op zoek naar computers die kwetsbaarheden bevatten. Door vele duizenden IP-adressen te scannen, hoopt men op den duur een kwetsbaar systeem te vinden om eventueel misbruik van te maken.

Voor de meeste (moderne) computersystemen die met het internet zijn verbonden, vormt een dergelijke scanner geen wezenlijk gevaar. Het programma zoekt met name naar verouderde computersoftware waar een bekend beveiligingslek in zit, zoals bepaalde web-, proxy- en printservers.

Op het moment dat een "GET /w00tw00t.at.ISC.SANS.DFind:)"-verzoek in de logbestanden verschijnt, houdt dit in dat de software bij de webserver een verzoek om het 'bestand' met de naam "w00tw00t.at.ISC.SANS.DFind:)" heeft ingediend. Hierbij stuurt het vaak geen "Host" HTTP-header mee, waardoor de webserver reageert met de status-code 400 (Bad Request), of anders 404 (Not Found). Enkele andere vormen die het verzoek kan aannemen zijn:

ISC SANS staat voor het Internet Storm Center van het SANS Institute in de Verenigde Staten, waarvan de naam hier misbruikt wordt om de verzoeken als legitiem of ongevaarlijk over te doen komen. DFind is wel degelijk een programma waarmee naar kwetsbaarheden gezocht kan worden, maar dat het in een verzoek verschijnt, betekent niet per se dat het ook gebruikt wordt. De inhoud van het GET-verzoek is dan ook geen betrouwbare vingerafdruk.

Het komt wel voor dat een dergelijk HTTP-verzoek vooraf gaat aan een uitgebreidere scan naar de aanwezigheid van, en kwetsbaarheden in, contentmanagement- en databasebeheersystemen zoals WordPress en phpMyAdmin. Na het eerste verzoek weet de scanner dat er een webserver actief is op het IP-adres. Vervolgens zal het een lijst afwerken van map- en bestandslocaties waar dergelijke systemen vaak in opgeslagen zijn, in de hoop een te vinden die kwetsbaar, onbeveiligd of eenvoudig te kraken is. Het is dan ook raadzaam om die systemen met een sterk wachtwoord te beveiligen.