Muieblackcat là gì?

34

Gần đây tôi đã cài đặt ELMAH trên một trang web .NET MVC nhỏ và tôi liên tục nhận được báo cáo lỗi

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Đây rõ ràng là một nỗ lực để truy cập một trang không tồn tại. Nhưng tại sao có những nỗ lực để truy cập trang này?

Đây có phải là một cuộc tấn công hay chỉ đơn giản là quét bot để xem tôi đã bị nhiễm bệnh chưa? Chính xác thì 'muieblackcat' là gì và tại sao lại có nỗ lực truy cập URL này?

security  iis 
RandomDev
nguồn
13
FYI muie có nghĩa là công việc thổi trong tiếng Romania.
Elzo Valugi

Câu trả lời:

26

Nó chỉ là một kịch bản tìm lỗ. Các yêu cầu được đưa ra thường là những yêu cầu sau, nếu máy chủ của bạn trả lời tất cả có lỗi 404, bạn không có gì phải lo lắng.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo trong đám mây
nguồn
3
Đồng ý. Tôi đang xem nó ngay bây giờ và gửi một báo cáo để lạm dụng emai. Bước tiếp theo của tôi là một kịch bản csf thực hiện nó cho tôi. Tôi sẽ spam email lạm dụng trên mỗi cuộc tấn công: D
m3nda
10

muieblackcat là script / bot, được cho là có nguồn gốc từ Ukraine, cố gắng khai thác các lỗ hổng hoặc cấu hình sai của PHP. Xem SUC027: Muieblackcat setup.php Web Scanner / Robot để biết thêm chi tiết.

Nếu bạn không sử dụng PHP và đã tắt mod_php , bạn sẽ an toàn. Tuy nhiên, một yêu cầu cho / muieblackcat có thể có nghĩa là bot đã, có thể thành công, đã truy cập trang web của bạn. Tôi khuyên bạn nên kiểm tra cẩn thận cấu hình và nội dung web của mình (nếu có thể, xóa tất cả và cài đặt lại từ bộ nguồn đáng tin cậy).

Mặt khác, địa chỉ IP ban đầu có khả năng là vô dụng. Hầu hết các cuộc tấn công đến từ người dùng Windows bị nhiễm không biết.

Paul
nguồn
1
Tại sao bạn muốn cài đặt lại?
Clément
1
Bởi vì có thể khó đảm bảo rằng hoàn toàn không còn dấu vết nào sau khi dọn dẹp và chỉ có một tệp php bị bỏ qua là tất cả những gì nó cần để phục hồi. Xóa sạch cài đặt và khôi phục từ hàng hóa đã biết sẽ kỹ lưỡng hơn.
Cornelius
4

Tôi làm theo cách khác: chuyển hướng chúng trên IP của chúng trên cùng một URI

Đôi khi như:

redirect301 = http://hackerIP/muieblackcat

Tôi nghĩ rằng máy chủ gửi chuyển hướng 301 dễ dàng hơn so với việc tạo trang 404 mỗi lần.

Drakonond
nguồn
3

Theo Tóm tắt cập nhật hàng ngày 24/24/2011 ( blog mới nổi Threat Pro ), đó là một máy quét đang tìm kiếm một số vi phạm trong máy chủ của bạn; nó chắc chắn là một kẻ xâm nhập mà bạn nên chặn. Hãy tìm nhật ký truy cập của bạn, bạn sẽ nhận được địa chỉ IP của nó.

Razique
nguồn
13
Tại sao chặn chúng? Đó là một pentest miễn phí. Sử dụng hồ sơ tấn công để tăng cường bảo mật của bạn. Dù sao họ cũng sẽ có IP mới 5 phút kể từ bây giờ. ;)
Dan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.