Що таке muieblackcat?

34

Нещодавно я встановив ELMAH на невеликому сайті .NET MVC, і я постійно отримую повідомлення про помилки

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Очевидно, це спроба отримати доступ до сторінки, яка не існує. Але чому є спроби отримати доступ до цієї сторінки?

Це напад чи це просто сканування бота, щоб побачити, чи я заражений? Що саме таке "muieblackcat" і чому є спроба отримати доступ до цієї URL-адреси?

security  iis 
RandomDev
джерело
13
FYI muie означає мінет румунською мовою.
Elzo Valugi

Відповіді:

26

Це просто сценарій пошуку дірок. Зроблені запити, як правило, є такими, якщо ваші сервери відповідають на всі помилки 404, вам не потрібно нічого турбуватися.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Іньіго в Хмарі
джерело
3
Погодьтеся. Я переглядаю це прямо зараз і надсилаю звіт про зловживання електронною поштою. Наступним моїм кроком є ​​сценарій csf, який робить це для мене. Я буду
спамувати
10

muieblackcat - це сценарій / бот, нібито українського походження, який намагається використовувати вразливості або неправильні конфігурації PHP. Детальніше див. У SUC027: Веб-сканер / робот Muieblackcat setup.php .

Якщо ви не використовуєте PHP і вимкнули mod_php , ви в безпеці. Однак запит на / muieblackcat може означати, що бот вже, можливо, успішно відвідав ваш сайт. Я пропоную вам уважно перевірити конфігурацію та веб-вміст (якщо можливо, стерти все та перевстановити з набору надійних джерел).

З іншого боку, вихідна IP-адреса, ймовірно, буде марною. Більшість атак надходять від неінформованих користувачів Windows.

Пол
джерело
1
Чому ви хочете перевстановити?
Clément
1
Тому що це може бути важко переконатися, що після очищення абсолютно не залишилося слідів, і для відновлення потрібен лише один непомічений php-файл. Витирання установки та відновлення з відомих-добрих буде більш ретельним.
Корнелій
4

Я роблю це іншим способом: перенаправляю їх на свій IP-код на той самий URI

Щось таке:

redirect301 = http://hackerIP/muieblackcat

Я думаю, що серверу легше надсилати перенаправлення 301, ніж щоразу створювати сторінку 404.

Драконовед
джерело
3

Відповідно до щоденного резюме оновлення 6/24/2011 ( блог Emerging Threat Pro ), це сканер, який шукає певних порушень на вашому сервері; це безумовно зловмисник, якого слід заблокувати. Шукайте свої журнали доступу, ви повинні отримати його IP-адресу.

Разік
джерело
13
Навіщо їх блокувати? Це вільний переказ. Використовуйте профіль атаки для підвищення безпеки. Відтепер у них буде новий IP 5 хвилин. ;)
Dan
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.