ZmEu Scanner

루마니아 해킹 집단에서 제작된 zmeu라고 불리는 툴이다. 2009년에 발견되었고
 
CVE ID 는 CVE-2009-1151 이다.
 
ZmEu Scanner는 phpMyAdmin을 탐색하며 ssh 무작위 대입공격 기능을 한다.
 
공격 방식은 ~/scripts/setup.php 의 경로를 찾고 phpMyAdmin 설치 과정에서 사용하는 PHP 코드를 통해 설정 파일 내에 웹쉘을 생성한다.
 
 

예제

GET /pma/scripts/setup.php

HTTP /1.1

Accept : */*..

Accept-Language : en-us..Accept-Encoding:gzip,deflate..

User-Agent : ZmEu

Host : www.secdata.com

Connection : Close..

위 예제는 정탐으로 판정되었고 차단 방법은 알려진 phpMyAdmin의 경로를 재구성 or 유추할 수 없는 폴더명으로 교체,  User-Agent 가 ZmEu 패턴 차단을 정책에 포합시킨다.