Что такое muieblackcat?


34

Я недавно установил ELMAH на небольшой сайт .NET MVC и продолжаю получать сообщения об ошибках

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Это, очевидно, попытка получить доступ к странице, которая не существует. Но почему есть попытки доступа к этой странице?

Это атака или это просто сканирование ботов, чтобы увидеть, не заражен ли я? Что такое muieblackcat и почему предпринимается попытка получить доступ к этому URL?


13
FYI muie означает минет на румынском языке.
Эльзо Валуги

Ответы:


26

Это просто скрипт поиска дырок. Обычно выполняются следующие запросы: если все ваши серверы отвечают с ошибкой 404, вам не о чем беспокоиться.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

3
Согласен. Я смотрю это прямо сейчас и отправляю сообщение о злоупотреблении Emai. Мой следующий шаг - скрипт csf, который делает это для меня. Я буду
рассылать по

10

muieblackcat - это скрипт / бот, предположительно украинского происхождения, который пытается использовать уязвимости или неправильные конфигурации PHP. См. SUC027: Muieblackcat setup.php Web Scanner / Robot для более подробной информации.

Если вы не используете PHP и деактивировали mod_php , вы в безопасности. Однако запрос / muieblackcat может означать, что бот уже, возможно, успешно посетил ваш сайт. Я предлагаю вам тщательно проверить свою конфигурацию и веб-контент (если это возможно, стереть все и переустановить из набора надежных источников).

С другой стороны, исходящий IP-адрес, скорее всего, будет бесполезным. Большинство атак происходит от неинфицированных зараженных пользователей Windows.


1
Почему вы хотите переустановить?
Clément

1
Поскольку может быть трудно убедиться, что после очистки не осталось абсолютно никаких следов, и только один пропущенный php-файл - это все, что нужно для его восстановления. Стирание установки и восстановление из известного-хорошего будет более тщательным.
Корнелиус

4

Я делаю это по-другому: перенаправить их на их IP на тот же URI

Что-то вроде:

redirect301 = http://hackerIP/muieblackcat

Я думаю, что серверу легче отправлять редирект 301, чем каждый раз генерировать страницу 404.


3

Согласно ежедневному обзору обновлений от 24.06.2011 ( блог Emerging Threat Pro ), это сканер, который ищет некоторые нарушения на вашем сервере; это определенно злоумышленник, которого вы должны заблокировать. Ищите свои журналы доступа, вы должны получить его IP-адрес.


13
Зачем их блокировать? Это бесплатный пентест. Используйте профиль атаки для повышения вашей безопасности. В любом случае у них будет новый IP-адрес через 5 минут. ;)
Дан
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.