Linux - Встречаем скрипт-киддис, запускающих «ZmEu» и другие подобные (не)игрушки

Всегда полезно поковырять логи доступа к серверу на предмет подозрительной деятельности и, как всегда, там что-то есть.
На этот раз к нам ломятся турки, прикидываясь румынскими драконами:

174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //phpmyadmin/ HTTP/1.1" 404 182 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //phpMyAdmin/ HTTP/1.1" 404 183 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //MyAdmin/ HTTP/1.1" 404 181 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //myadmin/ HTTP/1.1" 404 180 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //pma/ HTTP/1.1" 404 177 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.121.197.*** - - [13/Oct/2011:20:08:59 +0000] "GET //mysql/ HTTP/1.1" 404 179 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
...

и ещё сотня таких-же "GET"-запросов с перебором всех известных путей к установочной директории популярной утилиты "phpMyAdmin".
Здесь им поживиться нечем, нет её у меня, однако вся эта суета и мусор в логах — достойный повод для наведения порядка.

Днём ранее тайцы, прикидываясь тем же Змеем Горынычем, ищут те же пути, но с указанием имени конкретного скрипта «setup.php»:

202.143.139.*** - - [12/Oct/2011:02:15:32 +0000] "GET /scripts/setup.php HTTP/1.1" 404 186 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:33 +0000] "GET /admin/scripts/setup.php HTTP/1.1" 404 190 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:34 +0000] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 193 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:34 +0000] "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 196 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:35 +0000] "GET /db/scripts/setup.php HTTP/1.1" 404 188 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:37 +0000] "GET /dbadmin/scripts/setup.php HTTP/1.1" 404 191 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:38 +0000] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 192 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:39 +0000] "GET /mysql/scripts/setup.php HTTP/1.1" 404 190 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:39 +0000] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 194 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:40 +0000] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 198 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:41 +0000] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 192 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:41 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 194 "-" "ZmEu"
202.143.139.*** - - [12/Oct/2011:02:15:42 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 193 "-" "ZmEu"
... и так далее.

А вот и ещё какой-то неразборчивый бот. Никакими змеями-драконами не представляется, но в поисках заветного скрипта и "POST"-ами на IP не брезгует:

65.17.128.*** - - [15/Oct/2011:08:00:46 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
65.17.128.*** - - [15/Oct/2011:08:00:46 +0000] "GET /pma/scripts/setup.php HTTP/1.1" 404 219 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
65.17.128.*** - - [15/Oct/2011:08:00:46 +0000] "POST /scripts/setup.php HTTP/1.1" 404 215 "***.***.***.***" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
65.17.128.*** - - [15/Oct/2011:08:00:46 +0000] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "***.***.***.***" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"

Для разбора логов уже используется fail2ban, так что просто добавляем два новых фильтра: один для змея — сносящий всё, что содержит это имя:

[Definition]

failregex = ^ .*?".*?ZmEu.*?".*?

ignoreregex = 

и второй, для разгона искателей файла «setup.php» (Ну не бывает у меня скриптов с таким манящим названием!):

[Definition]

failregex = ^ .*?"(GET|POST).*?\/setup\.php.*?" .*?

ignoreregex = 

Включаем новые фильтры и ждём «похудения» логов.