Besuch vom "Morfeus F*cking Scanner"

Super-Grobi · 06. Mrz 2011

Moin zusammen,

ich brauch mal wieder Hilfe.
Nach dem ich auf meiner DS den Webalizer installiert hatte, fiel mir auf, das unter Useragent die Zeile

Rich (BBCode):

4 	1 	0.02% 	Morfeus Fucking Scanner

auftauchte.

Nicht gerade das, was ich so erwarten würde

Ein bisschen Googeln brachte mich zu der Erkenntnis, dass da wohl jemand versucht hat bei mir so etwas wie einen php-Bot zu installieren. Das scheint wohl gerade groß in Mode zu sein.

Mein erstes Problem ist nun, das ich in keiner Weise einschätzen kann, ob der Typ damit Erfolg hatte oder nicht. Was muss ich machen um das raus zu bekommen?

Mein zweites Problem ist, wie verhindere ich dass er ein zweites Mal Erfolg haben könnte?
Was ich schon raus habe ist, dass man per httpaccess file da was sperren könnte, das aber nicht so toll ist, weil man das in jedem einzelnen web Verzeichnis machen müßte.

Unter (hier) findet sich ein, ich sag mal "Hinweis", dass das eleganter wäre, wenn man etwas in der httpd.conf ändert.

Leider entnehme ich den restliche Zeilen nicht genau genug was ich als Skill-Level -100 Unixnutzer da wie eintragen / verändern sollte.

Kann mir da geholfen werden?

Grüße
Grobi

Anzeige · 06. Mrz 2011

Hallo Super-Grobi,

Bücher und Hardware zum Thema gibt es bei Amazon: Besuch vom "Morfeus F*cking Scanner"

Super-Grobi · 07. Mrz 2011

Kann da wirklich keiner nen Tip geben?
Grüße

thedude · 07. Mrz 2011

Packe den auf der Seite angegebenen Workaround:

Rich (BBCode):

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ – [F]

in eine .htaccess Datei im Webroot. Das gilt auch für alle Unterverzeichnisse. Alle Useragents die auf das angegebene matchen bekommen so einen 403 forbidden. Testen kannste das mit Browser wo man den Useragent verstellen kann (z.b. Firefox mit passender Extension).

gruss
dude

jahlives · 07. Mrz 2011

@Super-Grobi
Der User-Agent lässt sich in etwa so schnell ändern, wie du dir eine neue Unterhose anziehen kannst ;-)
Eine .htaccess auf Basis des User-Agents ist nicht unbedingt zuverlässig.
Besser als eine .htaccess wäre es sicherzustellen, dass dein Web nur mit den unbedingt nötigen Rechten läuft z.B. keine globalen Schreibrechte für nobody auf /volume1/web

randfee · 07. Mrz 2011

... wie wärs mit neu aufsetzen? Wenn eines meiner Systeme kompromittiert wäre und ich mir nicht sicher wäre was da gelaufen ist, dann würde ich dieses plattmachen und die Daten wieder einpflegen.

jahlives · 07. Mrz 2011

Wieso sollte das System kompromittiert worden sein? Der Scanner hat nur nach Schwachstellen geklopft. Das heisst noch lange nicht, dass er auch welche gefunden hat. Ich würde in solchen Fällen immer md5Hashes der Webserververzeichnisse kontrollieren. Dann kriegt man relativ schnell raus wenn Dateien neuangelegt resp geändert wurden. Und solange openbasedir in der Konfig nicht zu offen ist, hält sich auch die Anzahl der möglicherweise betroffenen Verzeichnisse in Grenzen

itari · 07. Mrz 2011

jahlives schrieb:
Der Scanner hat nur nach Schwachstellen geklopft.

Öhm, ich dachte immer, dass man nur den Client-HTTP-Header beim Webalizer analysiert. Oder kann der Webalizer auch feststellen, was der Client so alles abgeklopft hat?

Itari

jahlives · 07. Mrz 2011

Dieser Scan erzeugt ja 404-er Fehler, falls der Scanner nach Software sucht die nicht installiert ist. Ich weiss nicht ob der Webalizer das auswertet. In den Apache Logs stehen diese Fehler aber auf jeden Fall. Btw: Ich kann damit ja auch abklappern was du (deine IP) bei mir so aufgerufen hat ;-)

Super-Grobi · 07. Mrz 2011

n'Abend,

oha, mal sehen ob ich das alles halbwegs richtig umsetzen könnte....

also ich pack die htacces Datei Änderung rein, hilft aber nur halbwegs, weil User-Agent einfach zu ändern. das ist schon mal klar

und drauf achten das die Dateirechte ordentlich sind. Wäre dann ein -rwxrwxr-- richtig?? Oder das public x noch mit?

Dann md5hashes basteln. Gut, ist das ok, wenn ich das über Windows und die SMB Freigabe mache? denke mal ...

Gut , eine Frage hab ich dann noch, wo finde ich denn das Apache-logfile?

Danke-Grüße

Jörg

jahlives · 07. Mrz 2011

Bei den Dateirechten ist es eigentlich ganz einfach: So wenig wie möglich und so viel wie nötig. Gerade beim Server musst du dir genau überlegen ob der Benutzer nobody wirklich Schreibrechte auf ein bestimmtes Verzeichnis braucht. Ich würde mal sagen, dass 90% aller Anwendungen auch ohne Schreibrechte für den Webserver Benutzer immer noch laufen. Ich machs bei mir so. zuerst chown -R meinUser:nobody /volume1/web && chmod -R 0750 /volume1/web Dann ganz selektiv für bestimmte Verzeichnisse die Gruppenrechte auf Schreiben stellen. Aber wirklich nur dort wo die SW sonst nicht läuft.

Wegen der md5hashes: Das geht viel einfacher direkt auf der Shell z.B.

Code:

find /volume1/web -type f -exec md5sum '{}' \; >> /volume1/md5hashes_web
#und zum kontrollieren
md5sum -c --quiet /volume1/md5hashes_web

Super-Grobi · 07. Mrz 2011

Hi jahlives,

ok, ich hab da ja eh derzeit nicht viel drin was draußen laufen soll...
Ich wühl mich da mal durch...

hmm find war jetzt irgendwie extrem fix.....
ok das liegt wohl daran das ich kein md5sum habe

Ich geh mal auf die Suche

Grüße

jan_gagel · 18. Jul 2011

md5sum ist nicht bei busybox dabei? Hab auch grad lauter Fehlermeldungen erhalten, daß die DS md5sum nicht finden kann. gibts das auch für die DS210j einfach so zum Reinkopieren?

mördock · 14. Mrz 2012

Hallo,

für mich ist das alles noch Neuland und ich bräuchte bitte eine Erklärung.
Ich habe auf meiner DS 111 eine kleine Webseite ans laufen gebracht und prompt Besuch vom Morfeus bekommen. Daraufhin habe ich diesen Thread gefunden der allerdings noch einige Fragen bei mir aufwirft.
Verstehe ich das richtig? Ich erstelle eine ASCII Datei mit dem Code vom the Dude und packe diese dann in jedes Verzeichnis im Ordner web und schon bekommt Morfeus nicht mehr in mein Verzeichnis?
Wie funktioniert das?? Wird jedesmal wenn einer meine Seite öffnet in die.htaccess geschaut ob er rauf darf?
Bitte, bitte eine Erklärung für Anfänger.

Vielen Dank!

mördock

joku · 14. Mrz 2012

mördock schrieb:
Wird jedesmal wenn einer meine Seite öffnet in die.htaccess geschaut ob er rauf darf?

Hallo mördock. ja der apache schaut darein und wenn Du da die IP Adresse von dem Betroffenen oder den namen einträgst, war es das.

.htaccess
---------------------
Deny from ip-adresse
Deny from .name.tld
---------------------

Gruß Jo

mördock · 14. Mrz 2012

Danke!! Das ging schnell!
Gut, dann werde ich die Datei erstellen und flux in die Verzeichnisse packen.

joku · 14. Mrz 2012

mördock schrieb:
Danke!! Das ging schnell!
Gut, dann werde ich die Datei erstellen und flux in die Verzeichnisse packen.

Das kannst Du auch testen, gibt mal Deine Client IP ein, das siehst Du was der andere sieht.

Gruß Jo

jahlives · 14. Mrz 2012

@Mördock
sobald der Morpheus seinen User-Agent ändert kommt er wieder rein. Es müsste sich nur XMorfeus oder morfeus nennen und dein RegExp match nicht mehr. Ich würde nicht nach den User-Agents der Malware suchen, sondern danach was die Malware aufrufen will. Bei mir ist es so (will ned sagen man muss es so machen): Meinem Webserver ist ein Proxy vorgelagert. Der fängt alle Request ab und lässt nur durch was erlaubt ist. Die verweigerten Requests (z.B. weil der Client den erforderlichen Hostheader nicht geschickt hat) durchsucht bei mir fail2ban nach Spuren von Morfeus & Co. Dabei suche ich v.a. in den URLs die abgefragt wurden, den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte

mördock · 14. Mrz 2012

äääh, ja!
Das mit den Useragetns habe ich schon gelesen, Firefoxextension und schon ist man wer anders.
Kann man in der htaccess irgendwie mit wildcards arbeiten z.B. *morf*, so das man es ihm ein wenig schwerer macht und alle die morf beeinhalten draussen bleiben???

Und hier versteh ich nur Bahnhof: Das untersche den Syno Lehrling vom Syno-Gott

Meinem Webserver ist ein Proxy vorgelagert. Der fängt alle Request ab und lässt nur durch was erlaubt ist. Die verweigerten Requests (z.B. weil der Client den erforderlichen Hostheader nicht geschickt hat) durchsucht bei mir fail2ban nach Spuren von Morfeus & Co. Dabei suche ich v.a. in den URLs die abgefragt wurden, den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte

mördock

joku · 14. Mrz 2012

mördock schrieb:
den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte

Hallo mördock,
darum meinte ich das Du die IP Adresse und (oder) den name.tld in der .htaccess eintragen könntest.
Gruß Jo

mördock · 14. Mrz 2012

Ich habe mir erstmal das inoffizielle Handbuch runtergeladen und werde es durchackern, teilweise.
Für alle weiteren Tipps und Anregungen bin ich immer dankbar.
Auf meine Seite sollen nur Bekannte rauf, überlege ob ich einen allgemeinen PW Schutz einrichte.

mördock