Toggle sidebar

Besuch vom "Morfeus F*cking Scanner"

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Super-Grobi

Super-Grobi

Benutzer
Registriert
28. Sep. 2010
Beiträge
1.913
Reaktionspunkte
0
Punkte
62
Moin zusammen,

ich brauch mal wieder Hilfe.
Nach dem ich auf meiner DS den Webalizer installiert hatte, fiel mir auf, das unter Useragent die Zeile
Rich (BBCode): 
4 	1 	0.02% 	Morfeus Fucking Scanner
auftauchte.

Nicht gerade das, was ich so erwarten würde ;)

Ein bisschen Googeln brachte mich zu der Erkenntnis, dass da wohl jemand versucht hat bei mir so etwas wie einen php-Bot zu installieren. Das scheint wohl gerade groß in Mode zu sein.

Mein erstes Problem ist nun, das ich in keiner Weise einschätzen kann, ob der Typ damit Erfolg hatte oder nicht. Was muss ich machen um das raus zu bekommen?

Mein zweites Problem ist, wie verhindere ich dass er ein zweites Mal Erfolg haben könnte?
Was ich schon raus habe ist, dass man per httpaccess file da was sperren könnte, das aber nicht so toll ist, weil man das in jedem einzelnen web Verzeichnis machen müßte.

Unter (hier) findet sich ein, ich sag mal "Hinweis", dass das eleganter wäre, wenn man etwas in der httpd.conf ändert.

Leider entnehme ich den restliche Zeilen nicht genau genug was ich als Skill-Level -100 Unixnutzer da wie eintragen / verändern sollte.

Kann mir da geholfen werden?

Grüße
Grobi
 
Kann da wirklich keiner nen Tip geben?
Grüße
 
Packe den auf der Seite angegebenen Workaround:

Rich (BBCode): 
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Morfeus
RewriteRule ^.*$ – [F]
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl
RewriteRule ^.*$ – [F]

in eine .htaccess Datei im Webroot. Das gilt auch für alle Unterverzeichnisse. Alle Useragents die auf das angegebene matchen bekommen so einen 403 forbidden. Testen kannste das mit Browser wo man den Useragent verstellen kann (z.b. Firefox mit passender Extension).

gruss
dude
 
@Super-Grobi
Der User-Agent lässt sich in etwa so schnell ändern, wie du dir eine neue Unterhose anziehen kannst ;-)
Eine .htaccess auf Basis des User-Agents ist nicht unbedingt zuverlässig.
Besser als eine .htaccess wäre es sicherzustellen, dass dein Web nur mit den unbedingt nötigen Rechten läuft z.B. keine globalen Schreibrechte für nobody auf /volume1/web
 
... wie wärs mit neu aufsetzen? Wenn eines meiner Systeme kompromittiert wäre und ich mir nicht sicher wäre was da gelaufen ist, dann würde ich dieses plattmachen und die Daten wieder einpflegen.
 
Zuletzt bearbeitet:
Wieso sollte das System kompromittiert worden sein? Der Scanner hat nur nach Schwachstellen geklopft. Das heisst noch lange nicht, dass er auch welche gefunden hat. Ich würde in solchen Fällen immer md5Hashes der Webserververzeichnisse kontrollieren. Dann kriegt man relativ schnell raus wenn Dateien neuangelegt resp geändert wurden. Und solange openbasedir in der Konfig nicht zu offen ist, hält sich auch die Anzahl der möglicherweise betroffenen Verzeichnisse in Grenzen
 
jahlives schrieb:
Der Scanner hat nur nach Schwachstellen geklopft.
Zum Vergrößern anklicken....

Öhm, ich dachte immer, dass man nur den Client-HTTP-Header beim Webalizer analysiert. Oder kann der Webalizer auch feststellen, was der Client so alles abgeklopft hat?

Itari
 
Dieser Scan erzeugt ja 404-er Fehler, falls der Scanner nach Software sucht die nicht installiert ist. Ich weiss nicht ob der Webalizer das auswertet. In den Apache Logs stehen diese Fehler aber auf jeden Fall. Btw: Ich kann damit ja auch abklappern was du (deine IP) bei mir so aufgerufen hat ;-)
 
n'Abend,

oha, mal sehen ob ich das alles halbwegs richtig umsetzen könnte....

also ich pack die htacces Datei Änderung rein, hilft aber nur halbwegs, weil User-Agent einfach zu ändern. das ist schon mal klar

und drauf achten das die Dateirechte ordentlich sind. Wäre dann ein -rwxrwxr-- richtig?? Oder das public x noch mit?

Dann md5hashes basteln. Gut, ist das ok, wenn ich das über Windows und die SMB Freigabe mache? denke mal ...

Gut , eine Frage hab ich dann noch, wo finde ich denn das Apache-logfile?

Danke-Grüße

Jörg
 
Bei den Dateirechten ist es eigentlich ganz einfach: So wenig wie möglich und so viel wie nötig. Gerade beim Server musst du dir genau überlegen ob der Benutzer nobody wirklich Schreibrechte auf ein bestimmtes Verzeichnis braucht. Ich würde mal sagen, dass 90% aller Anwendungen auch ohne Schreibrechte für den Webserver Benutzer immer noch laufen. Ich machs bei mir so. zuerst chown -R meinUser:nobody /volume1/web && chmod -R 0750 /volume1/web Dann ganz selektiv für bestimmte Verzeichnisse die Gruppenrechte auf Schreiben stellen. Aber wirklich nur dort wo die SW sonst nicht läuft.

Wegen der md5hashes: Das geht viel einfacher direkt auf der Shell z.B.
Code: 
find /volume1/web -type f -exec md5sum '{}' \; >> /volume1/md5hashes_web
#und zum kontrollieren
md5sum -c --quiet /volume1/md5hashes_web
 
Zuletzt bearbeitet:
Hi jahlives,

ok, ich hab da ja eh derzeit nicht viel drin was draußen laufen soll...
Ich wühl mich da mal durch...

hmm find war jetzt irgendwie extrem fix.....
ok das liegt wohl daran das ich kein md5sum habe :rolleyes:
Ich geh mal auf die Suche :)

Grüße
 
md5sum ist nicht bei busybox dabei? Hab auch grad lauter Fehlermeldungen erhalten, daß die DS md5sum nicht finden kann. gibts das auch für die DS210j einfach so zum Reinkopieren?
 
Hallo,

für mich ist das alles noch Neuland und ich bräuchte bitte eine Erklärung.
Ich habe auf meiner DS 111 eine kleine Webseite ans laufen gebracht und prompt Besuch vom Morfeus bekommen. Daraufhin habe ich diesen Thread gefunden der allerdings noch einige Fragen bei mir aufwirft.
Verstehe ich das richtig? Ich erstelle eine ASCII Datei mit dem Code vom the Dude und packe diese dann in jedes Verzeichnis im Ordner web und schon bekommt Morfeus nicht mehr in mein Verzeichnis?
Wie funktioniert das?? Wird jedesmal wenn einer meine Seite öffnet in die.htaccess geschaut ob er rauf darf?
Bitte, bitte eine Erklärung für Anfänger.

Vielen Dank!

mördock
 
mördock schrieb:
Wird jedesmal wenn einer meine Seite öffnet in die.htaccess geschaut ob er rauf darf?
Zum Vergrößern anklicken....
Hallo mördock. ja der apache schaut darein und wenn Du da die IP Adresse von dem Betroffenen oder den namen einträgst, war es das.

.htaccess
---------------------
Deny from ip-adresse
Deny from .name.tld
---------------------

Gruß Jo
 
Danke!! Das ging schnell!
Gut, dann werde ich die Datei erstellen und flux in die Verzeichnisse packen.
 
@Mördock
sobald der Morpheus seinen User-Agent ändert kommt er wieder rein. Es müsste sich nur XMorfeus oder morfeus nennen und dein RegExp match nicht mehr. Ich würde nicht nach den User-Agents der Malware suchen, sondern danach was die Malware aufrufen will. Bei mir ist es so (will ned sagen man muss es so machen): Meinem Webserver ist ein Proxy vorgelagert. Der fängt alle Request ab und lässt nur durch was erlaubt ist. Die verweigerten Requests (z.B. weil der Client den erforderlichen Hostheader nicht geschickt hat) durchsucht bei mir fail2ban nach Spuren von Morfeus & Co. Dabei suche ich v.a. in den URLs die abgefragt wurden, den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte
 
äääh, ja!
Das mit den Useragetns habe ich schon gelesen, Firefoxextension und schon ist man wer anders.
Kann man in der htaccess irgendwie mit wildcards arbeiten z.B. *morf*, so das man es ihm ein wenig schwerer macht und alle die morf beeinhalten draussen bleiben???

Und hier versteh ich nur Bahnhof: Das untersche den Syno Lehrling vom Syno-Gott:o
Meinem Webserver ist ein Proxy vorgelagert. Der fängt alle Request ab und lässt nur durch was erlaubt ist. Die verweigerten Requests (z.B. weil der Client den erforderlichen Hostheader nicht geschickt hat) durchsucht bei mir fail2ban nach Spuren von Morfeus & Co. Dabei suche ich v.a. in den URLs die abgefragt wurden, den User Agent ignorier ich jedoch, weil Morfeus sich problemlos MSIE 9.0 nennen könnte

mördock
 
Ich habe mir erstmal das inoffizielle Handbuch runtergeladen und werde es durchackern, teilweise.
Für alle weiteren Tipps und Anregungen bin ich immer dankbar.
Auf meine Seite sollen nur Bekannte rauf, überlege ob ich einen allgemeinen PW Schutz einrichte.

mördock
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten