Apa itu muieblackcat?

34

Saya baru saja menginstal ELMAH di situs .NET MVC kecil dan saya terus menerima laporan kesalahan

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Ini jelas merupakan upaya untuk mengakses halaman yang tidak ada. Tetapi mengapa ada upaya untuk mengakses halaman ini?

Apakah ini serangan atau itu hanya bot scanning untuk melihat apakah saya sudah terinfeksi? Apa sebenarnya 'muieblackcat' dan mengapa ada upaya untuk mengakses URL ini?

security  iis 
RandomDev
sumber
13
FYI muie berarti blowjob dalam bahasa Rumania.
Elzo Valugi

Jawaban:

26

Ini hanya sebuah script pencari lubang. Permintaan yang dibuat biasanya yang berikut, jika server Anda menjawab semua dengan kesalahan 404, Anda tidak perlu khawatir.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo InThe Cloud
sumber
3
Setuju. Saya menonton itu sekarang dan mengirim laporan ke penyalahgunaan emai. Langkah saya selanjutnya adalah skrip csf yang melakukannya untuk saya. Saya akan spam email penyalahgunaan pada setiap serangan: D
m3nda
10

muieblackcat adalah script / bot, yang diduga berasal dari Ukraina, yang berupaya mengeksploitasi kerentanan PHP atau kesalahan konfigurasi. Lihat SUC027: Muieblackcat setup.php Web Scanner / Robot untuk lebih detail.

Jika Anda tidak menggunakan PHP dan telah menonaktifkan mod_php , Anda aman. Namun, permintaan untuk / muieblackcat dapat berarti bahwa bot telah, mungkin berhasil, mengunjungi situs Anda. Saya sarankan Anda memeriksa konfigurasi dan konten web dengan hati-hati (jika mungkin, hapus semua dan instal ulang dari kumpulan sumber tepercaya).

Di sisi lain, alamat IP asal kemungkinan tidak berguna. Sebagian besar serangan datang dari pengguna Windows yang tidak sadar terinfeksi.

Paul
sumber
1
Mengapa Anda ingin menginstal ulang?
Clément
1
Karena bisa sulit untuk memastikan tidak ada jejak yang tersisa setelah pembersihan, dan hanya satu file php yang terabaikan yang diperlukan untuk menghidupkan kembali. Menyeka instalasi dan mengembalikan dari yang diketahui-baik akan lebih menyeluruh.
Cornelius
4

Saya melakukannya dengan cara lain: mengarahkan mereka di IP mereka di URI yang sama

Sesuatu seperti:

redirect301 = http://hackerIP/muieblackcat

Saya pikir lebih mudah bagi server untuk mengirim redirect 301 daripada menghasilkan halaman 404 setiap kali.

Drakonoved
sumber
3

Menurut Ringkasan Pembaruan Harian 6/24/2011 ( blog Emerging Threat Pro ), ini adalah pemindai yang mencari beberapa pelanggaran di server Anda; jelas merupakan pengganggu yang harus Anda blokir. Cari log akses Anda, Anda harus mendapatkan alamat IP-nya.

Razique
sumber
13
Mengapa memblokirnya? Ini adalah pentest gratis. Gunakan profil serangan untuk meningkatkan keamanan Anda. Mereka akan memiliki IP baru 5 menit dari sekarang. ;)
Dan
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.