muieblackcat คืออะไร

34

ฉันเพิ่งติดตั้ง ELMAH บนไซต์. NET MVC ขนาดเล็กและฉันได้รับรายงานข้อผิดพลาด

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

เห็นได้ชัดว่านี่เป็นความพยายามในการเข้าถึงหน้าเว็บที่ไม่มีอยู่ แต่ทำไมมีความพยายามเข้าถึงหน้านี้

นี่เป็นการโจมตีหรือเป็นการสแกนบ็อตเพื่อดูว่าฉันติดไวรัสหรือไม่ 'muieblackcat' คืออะไรและทำไมจึงมีความพยายามเข้าถึง URL นี้

security  iis 
RandomDev
แหล่งที่มา
13
FYI muie หมายถึง blowjob ในภาษาโรมาเนีย
Elzo Valugi

คำตอบ:

26

มันเป็นเพียงสคริปต์ค้นหาหลุม โดยทั่วไปคำร้องขอดังกล่าวจะเป็นคำขอต่อไปนี้หากเซิร์ฟเวอร์ของคุณตอบทุกข้อผิดพลาด 404 คุณไม่มีอะไรต้องกังวล

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo InThe Cloud
แหล่งที่มา
3
ตกลง. ฉันกำลังดูอยู่ตอนนี้และส่งรายงานไปยังการละเมิด emai ขั้นตอนต่อไปของฉันคือสคริปต์ csf ที่ทำเพื่อฉัน ฉันจะสแปมอีเมลที่ไม่เหมาะสมในการโจมตีแต่ละครั้ง: D
erm3nda
10

muieblackcat เป็นสคริปต์ / บ็อตซึ่งเป็นภาษายูเครนซึ่งคาดว่าจะพยายามใช้ช่องโหว่ของ PHP หรือการกำหนดค่าผิดพลาด ดูSUC027: Muieblackcat setup.php เว็บสแกนเนอร์ / หุ่นยนต์สำหรับรายละเอียดเพิ่มเติม

หากคุณไม่ได้ใช้ PHP และปิดการใช้งานmod_phpคุณจะปลอดภัย อย่างไรก็ตามคำขอสำหรับ / muieblackcat อาจหมายความว่าบอทนั้นได้เข้าชมไซต์ของคุณเรียบร้อยแล้ว ฉันขอแนะนำให้คุณตรวจสอบการกำหนดค่าและเนื้อหาเว็บอย่างระมัดระวัง (ถ้าเป็นไปได้ลบทั้งหมดและติดตั้งใหม่จากชุดแหล่งที่เชื่อถือได้)

ในทางกลับกันที่อยู่ IP ต้นทางมีแนวโน้มที่จะไร้ประโยชน์ การโจมตีส่วนใหญ่มาจากผู้ใช้ Windows ที่ติดไวรัสโดยไม่รู้ตัว

พอล
แหล่งที่มา
1
ทำไมคุณต้องการติดตั้งใหม่
Clément
1
เนื่องจากอาจเป็นเรื่องยากที่จะตรวจสอบให้แน่ใจว่าไม่มีร่องรอยเหลืออยู่หลังจากการล้างข้อมูลและไฟล์ php ที่ถูกมองข้ามเพียงไฟล์เดียวเท่านั้นคือสิ่งที่จำเป็นต้องมีเพื่อฟื้นคืนชีพ การเช็ดการติดตั้งและการคืนค่าจากสิ่งที่รู้จักดีจะเป็นไปอย่างละเอียดยิ่งขึ้น
คอร์นีเลียส
4

ฉันทำได้อีกวิธี: เปลี่ยนเส้นทางพวกเขาใน IP ของพวกเขาใน URI เดียวกัน

Somethig ชอบ:

redirect301 = http://hackerIP/muieblackcat

ฉันคิดว่าเซิร์ฟเวอร์จะส่งการเปลี่ยนเส้นทาง 301 ง่ายกว่าการสร้างหน้า 404 ในแต่ละครั้ง

Drakonoved
แหล่งที่มา
3

ตามสรุปการอัพเดทรายวัน 6/24/2011 ( บล็อกEmerging Threat Pro ) เป็นสแกนเนอร์ที่กำลังมองหาช่องโหว่ในเซิร์ฟเวอร์ของคุณ เป็นผู้บุกรุกที่คุณควรบล็อกอย่างแน่นอน ค้นหาบันทึกการเข้าถึงของคุณคุณควรได้รับที่อยู่ IP ของมัน

Razique
แหล่งที่มา
13
ทำไมต้องปิดกั้นพวกเขา มันเป็นเพนต์ฟรี ใช้โปรไฟล์การโจมตีเพื่อเพิ่มความปลอดภัยของคุณ พวกเขาจะมี IP ใหม่ 5 นาทีจากนี้ ;)
ด่าน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.