Mi servidor personal de Apache ocasionalmente obtiene algunas exploraciones bastante obvias para detectar vulnerabilidades. El cliente que realiza el análisis realiza los métodos GET HTTP / 1.1 en una variedad de URL y utiliza una variedad de campos de User-Agent. El escáner parece usar siempre los siguientes encabezados HTTP en cada solicitud (no necesariamente en este orden):
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Connection: Close
He probado algunas de las bibliotecas de cliente web de código abierto (libwww-perl de Perl, la biblioteca de rizos de PHP, Python, wget, pmapwn, quizás algunas otras), pero por defecto, nada de lo que he intentado genera solicitudes HTTP con eso. combinación de los valores de encabezado Aceptar, Aceptar-Idioma y Aceptar-Codificar.
Basado en la identificación del sistema operativo Nmap poco después de las exploraciones, y en la identificación pasiva p0f, el cliente o el escáner probablemente se ejecuta en Linux.
¿Qué cliente HTTP o escáner de vulnerabilidad genera solicitudes GET con esos valores de encabezado? ¿Alguien puede indicarme el código fuente para ello?
EDIT
Daré más información. El campo User-Agent en este escáner a veces aparece como "Morfeus Fucking Scanner", "Morfeus", "ZmEu", "Hecho por ZmEu @ WhiteHat Team - www.whitehat.ro", y posiblemente otros. No, no es el escáner pmapwn que ha tenido "ZmEu" como su Agente de Usuario a veces.