cNotes 検索 一覧 カテゴリ

Morfeus Fucking Scanner

Published: 2008/03/17

User-agentで「Morfeus Fucking Scanner」と名乗るアクセスが散見されます。apacheのaccess.logをみるとこのログが大量に見つかる人たちもたくさんいることでしょう。とうぜんハニーポットでも。目的は外部ファイルをインクルードできるphpの穴探しのようで1年前ぐらいから大量に見つかるようになった感じでしょうか。やっかいなのはこのスキャナーが利用する確認用コンテンツがさまざまな形で世界中に大量にばら撒かれています。そのせいでアクセスログ的にはさまざまなバリエーションが存在しますが、たとえばこんな感じ。

 http://xxx.xxx.xxx.xxx/sugar/1.gif?/

で、そのコンテンツの中身がこんな感じ。(当然これにもさまざまなバリエーションがあります。)

 <?php
 echo ("Morfeus hacked you");
 ?>

その他のphpの脆弱性を調べるスキャンも含め大量のスキャン活動が行われていて、Google等の検索サイトを使って対象のphpを設置しているサイトを狙い打つものもあれば、phpを設置しているという理由だけで設置もしていないphpに対するスキャンをまとめて行われているサイトまでいろいろあるようです。一昔前のボットによる脆弱性スキャンと同じことが新しい分野で行われているといった感じでしょうか。ボットの進化、歴史に当てはめてみると、これらの手法がさほど洗練されていない点からも、無防備に近い状況のサーバーが大量に存在するということでしょう。ウェブ系の対策はなかなか難しい面があるのでこの状況は長引きそうです。

[カテゴリ:botnet観察日記]

by jyake