La herramienta de escaneo DFind – #1 Tiny Security Scanner rev-1.0.9 utilizando el comando
1 |
D:\DFind.exe -web 192.168.1.35 |
Nos da la siguiente entrada en el log:
1 |
2009-05-01 18:32:58 192.168.1.36 192.168.1.35 GET /w00tw00t.at.ISC.SANS.DFind:) - 400 - - |
La consulta para detectarlo con la herramienta Log parser:
1 2 3 4 |
SELECT cs-uri-stem,sc-status FROM 'C:\W3SVC1\*.*' where cs-uri-stem like '%DFind%' order by sc-status |
Y este es el resultado:
1 2 3 4 5 6 7 8 |
/w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 /w00tw00t.at.ISC.SANS.DFind:);400 |
Bloquear parte de cs-uri-stem para no permitir este escaneo.