systemadmin.es > LAMP y web > w00tw00t.at.ISC.SANS.DFind:)

w00tw00t.at.ISC.SANS.DFind:)

En cualquier servidor web que he tocado siempre me he encontrado en los logs la petición con el string w00tw00t.at.ISC.SANS.DFind:). Aunque ahora he visto otros de similares:

$ cat access_log | grep w00t | awk '{ print $7 }' | sort | uniq
/w00tw00t.at.blackhats.romanian.anti-sec:)
/w00tw00t.at.ISC.SANS.DFind:)
/w00tw00t.at.ISC.SANS.test0:)

No esta claro de donde salen esta peticiones, pero aparentemente no esta relacionado con el SANS. Estas entradas solo nos molestan en los logs, por lo que podemos perfectamente filtrarlas de los logs de Apache con lo siguiente:

SetEnvIfNoCase Request_URI "w00tw00t.at.blackhats.romanian.anti-sec" drop
SetEnvIfNoCase Request_URI "w00tw00t.at.ISC.SANS.DFind" drop
SetEnvIfNoCase Request_URI "w00tw00t.at.ISC.SANS.test0" drop

Con esto estamos etiquetando estas peticiones, luego al escribir los logs podemos indicar que no queremos que se guarden las que hemos etiquetado con el “drop“:

CustomLog "logs/access_log" combined env=!drop 

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>