Muieblackcat nedir?


34

Yakın bir zamanda ELMAH'ı küçük bir .NET MVC sitesine kurdum ve hata raporları almaya devam ediyorum

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Bu açık bir şekilde var olmayan bir sayfaya erişme denemesidir. Peki neden bu sayfaya erişme girişimleri var?

Bu bir saldırı mı, yoksa enfekte olup olmadığımı görmek için bot taraması mı? 'Muieblackcat' tam olarak nedir ve neden bu URL'ye erişme girişimi var?


13
Bilginize muie Rumence oral seks anlamına gelir.
Elzo Valugi

Yanıtlar:


26

Bu sadece bir delik bulma senaryosu. Yapılan istekler tipik olarak aşağıdakilerdir, eğer sunucularınız 404 hatayla cevap veriyorsa, endişelenecek bir şey yoktur.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

3
Anlaşmak. Bunu şimdi izliyorum ve emai'yi kötüye kullanmak için bir rapor gönderiyorum. Bir sonraki adım benim için yapan bir csf betiği. Her saldırıda kötüye kullanım e-postasını spam
atacağım

10

muieblackcat, PHP açıklarından veya yanlış yapılandırmalardan yararlanmak isteyen Ukrayna kökenli bir senaryo / bot. Daha fazla ayrıntı için SUC027: Muieblackcat setup.php Web Tarayıcı / Robot'a bakın .

PHP kullanmıyorsanız ve mod_php'yi devre dışı bıraktıysanız , güvendesiniz. Ancak, / muieblackcat isteği, botun sitenizi zaten, belki de başarıyla ziyaret ettiği anlamına gelebilir. Yapılandırmanızı ve web içeriğinizi dikkatlice kontrol etmenizi öneririm (mümkünse hepsini silin ve güvenilir bir kaynak kümesinden yeniden yükleyin).

Öte yandan, kaynak IP adresinin yararsız olması muhtemeldir. Çoğu saldırı, farkında olmayan virüslü Windows kullanıcılarından kaynaklanır.


1
Neden yeniden yüklemek istiyorsun?
Clément

1
Bir temizleme işleminden sonra kesinlikle hiçbir iz kalmadığından emin olmak zor olabilir ve yalnızca gözden kaçan bir php dosyası diriltmek için ihtiyaç duyduğu şeydir. Kurulumu silmek ve bilinen iyiden geri yüklemek daha ayrıntılı olacaktır.
Cornelius,

4

Başka bir yolla yaparım: Onları IP'lerine aynı URI'da yönlendir

Gibi bir şey:

redirect301 = http://hackerIP/muieblackcat

Sunucunun, her seferinde 404 sayfasını oluşturmaktan 301 yönlendirme göndermesi daha kolay olduğunu düşünüyorum.


3

Göre Günlük Güncelleme Özet 6/24/2011 ( Gelişen Tehdit Pro blog), bu sunucuda bazı ihlalleri arayan bir tarayıcı var; Kesinlikle engellemeniz gereken bir davetsiz misafir. Erişim kayıtlarınızı arayın, IP adresini almalısınız.


13
Neden onları engelle? Bu ücretsiz bir rahip. Güvenliğinizi arttırmak için saldırı profilini kullanın. Zaten 5 dakika sonra yeni bir IP alacaklar. ;)
Dan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.