A "explicação oficial" do "Internet Storm Center" group para a origem dessas assinaturas :
http://isc.sans.org/diary.html?storyid=900Isso é uma "assinatura" de uma ferramenta usada para procurar vulnerabilidades no servidor web (na aplicação que serve conteúdo web). Creio que normalmente as vulnerabilidades que são procuradas referem-se ao servidor web IIS (windows).
Tenha em atenção que isso é sinónimo de que alguém anda a fazer scans... não com muito boas intenções, mas se o seu servidor é um *nix e usa um servidor web apache, à partida não terá problema nenhum.
Boas,
A uns dias atraz detectei isto no meu servidor "w00tw00t.at.ISC.SANS.DFind"
isto o que é?