Besuch vom "Morfeus F*cking Scanner"

[jahlives]

Meinem Webserver ist ein Proxy vorgelagert. Der fängt alle Request ab und lässt nur durch was erlaubt ist. Die verweigerten Requests (z.B. weil der Client den erforderlichen Hostheader nicht geschickt hat) durchsucht bei mir fail2ban nach Spuren von Morfeus & Co. Dabei suche ich v.a. in den URLs die abgefragt wurden, den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte

mördock

ein http-Proxy Server ist wie Webserver. Allerdings beantwortet ein Proxy die Anfrage nicht selber, sondern reicht sie an einen dahinterliegenden Server weiter (z.B. Apache oder IIS), der sie dann beantwortet und die Antwort an den Proxy schickt. Der Proxy schickt diese Antwort dann an den anfragenden Client zurück. Ein Proxy ist also ein Stellvertreter für einen Server. Der Client redet dabei niemals direkt mit dem dahinterliegenden Server, sondern nur mit dem Proxy. Und der dahinterliegende Server redet niemals mit dem Client sondern auch nur mit dem Proxy. Proxy Server gibt es für fast jeden Server Dienst: z.B. für http(s) squid oder pound, für IMAP/POP3 perdition

Ich setze bei mir den pound als http-Proxy ein. Der prüft den Request und leitet nur weiter was genau definiert ist (festzulegen in der Config). Alles andere wird verworfen und gibt Meldungen im Log. Dieses Log durchsuche ich dann regelmässig nach Zeilen die für mich nach einer Malware klingen. Zu diesen Zeilen wird die IP ermittelt (steht ebenfalls im pound Log) und die IP wird automatisch in der Firewall gesperrt