Il mio server Apache personale occasionalmente ottiene alcune scansioni piuttosto ovvie per le vulnerabilità. Il client che esegue la scansione esegue i metodi HTTP / 1.1 su una varietà di URL e utilizza una varietà di campi User-Agent. Lo scanner sembra utilizzare sempre le seguenti intestazioni HTTP in ogni richiesta (non necessariamente in questo ordine):
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Connection: Close
Ho provato alcune delle librerie client web open source (libl-perl di Perl, libreria curl di PHP, Python, wget, pmapwn, forse alcune altre) ma per impostazione predefinita, nulla di ciò che ho provato genera richieste HTTP con questo combinazione di valori di intestazione Accept, Accept-Language e Accept-Encoding.
In base all'identificazione del sistema operativo Nmap poco dopo le scansioni e all'identificazione passiva di p0f, il client o lo scanner funzionano molto probabilmente su Linux.
Quale client HTTP o scanner di vulnerabilità genera richieste GET con quei valori di intestazione? Qualcuno può indicarmi il codice sorgente per questo?
Modifica
Darò maggiori informazioni. Il campo User-Agent su questo scanner a volte si presenta come "Morfeus Fucking Scanner", "Morfeus", "ZmEu", "Creato da ZmEu @ WhiteHat Team - www.whitehat.ro", ed eventualmente altri. No, non è lo scanner pmapwn che a volte ha avuto "ZmEu" come suo User-Agent.