Vous êtes ici : Accueil / Debian GNU/Linux / Système / Sécurité / Bloquer le scanner de vulnérabilités DFind

Bloquer le scanner de vulnérabilités DFind

Par Pierre-Yves Landuré Dernière modification 30/06/2014 09:46

DFind est un scanner de vulnérabilités générant de requêtes de type "w00tw00t.at.ISC.SANS.DFind" qui s'affichent dans les journaux Apache 2. Ce guide met en place un ensemble de règles iptables bloquant ces requêtes.

Ce guide est testé sur:

  • Debian 6.0 Squeeze

Installation

Bloquer les requêtes de DFind (W00tW00t)

Téléchargez les règles iptables et activez-les pour être chargées au démarrage du système:

command wget 'http://howto.biapy.com/fr/debian-gnu-linux/systeme/securite/bloquer-le-scanner-de-vulnerabilites-dfind/00-iptables-no-woot/at_download/file' \
    --output-document='/etc/network/if-up.d/00-iptables-no-woot'
command chmod +x '/etc/network/if-up.d/00-iptables-no-woot'

Chargez les règles immédiatement:

command bash '/etc/network/if-up.d/00-iptables-no-woot'

Dans l'idéal, réinitialisez complètement la configuration iptables. Cela peut être réalisé en redémarrant le système.

Bloquer les requêtes HTTP sur adresse IP

Pour bloquer la plupart des scanners de vulnérabilités, il suffit de bloquer les requêtes "http://xx.xx.xx.xx/". C'est à dire les requêtes n'utilisant pas un nom de domaine, mais une adresse IP.

Renseignez le nom de l'interface réseau surveillée:

NET_DEV="eth0"

Obtenez l'adresse IP publique du serveur HTTP (ou saisissez-la manuellement, en fonction de l'interface réseau surveillée):

PUBLIC_IP=$(command wget --quiet http://www.monip.org/ -O- \
    | command grep "IP :" \
    | command cut --characters=-80 \
    | command sed -e 's/^.* \(\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}\).*$/\1/')

Convertissez-la en hexadécimal:

HEX_IP="$(command echo -n "Host: ${PUBLIC_IP}" \
    | command od -An -tx1 -w250)"

Obtenez l'adresse IP de l'interface choisie:

NET_IP="$(command ifconfig "${NET_DEV}" \
    | command grep 'inet ' \
    | command sed -e 's/^.*inet [^:]*:\([^ ]*\) .*$/\1/')"

Mettez en place la règle iptables bloquant les requêtes HTTP pour cette adresse IP:

PROPER_IP=$(command echo "${PUBLIC_IP}" | command tr '.' '-')
NOSPACE_HEX_IP=$(command echo ${HEX_IP} | command sed -e 's/ //g')
command echo "#"\!"/bin/bash
if [ -z \"\$(command iptables -L INPUT | command grep '${NOSPACE_HEX_IP}')\" ]; then
  command iptables -I INPUT -d ${NET_IP} -p tcp --dport 80 -m string --to 700 \\
    --algo bm --hex-string '|0d 0a${HEX_IP} 0d 0a|' -j DROP
fi" > "/etc/network/if-up.d/01-iptables-block-${PROPER_IP}"
command chmod +x "/etc/network/if-up.d/01-iptables-block-${PROPER_IP}"

Chargez la nouvelle règle:

command bash "/etc/network/if-up.d/01-iptables-block-${PROPER_IP}"

Remerciements

Merci à SpamCle@ner pour ses articles:

Commentaires (0)