Che cos'è muieblackcat?

34

Di recente ho installato ELMAH su un piccolo sito MVC .NET e continuo a ricevere segnalazioni di errori

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Questo è ovviamente un tentativo di accedere a una pagina che non esiste. Ma perché ci sono tentativi di accedere a questa pagina?

È un attacco o è semplicemente una scansione bot per vedere se sono stato infettato? Che cos'è esattamente "muieblackcat" e perché si tenta di accedere a questo URL?

security  iis 
RandomDev
fonte
13
FYI muie significa pompino in rumeno.
Elzo Valugi,

Risposte:

26

È solo uno script di ricerca dei buchi. Le richieste fatte sono in genere le seguenti, se i tuoi server rispondono tutti con un errore 404, non hai nulla di cui preoccuparti.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo InThe Cloud
fonte
3
Essere d'accordo. Lo sto guardando proprio ora e inviando un rapporto per abusare di emai. Il mio prossimo passo è uno script CSF che lo fa per me.
Spammerò
10

muieblackcat è uno script / bot, presumibilmente di origine ucraina, che tenta di sfruttare vulnerabilità o configurazioni errate di PHP. Vedi SUC027: Muieblackcat setup.php Web Scanner / Robot per maggiori dettagli.

Se non stai utilizzando PHP e mod_php è disattivato , sei al sicuro. Tuttavia, una richiesta per / muieblackcat potrebbe significare che il bot ha già, forse correttamente, visitato il tuo sito. Ti suggerisco di controllare attentamente la configurazione e il contenuto Web (se possibile, cancellare tutto e reinstallare da un set di fonti attendibili).

D'altro canto, è probabile che l'indirizzo IP di origine sia inutile. La maggior parte degli attacchi proviene da utenti Windows infetti inconsapevoli.

Paolo
fonte
1
Perché dovresti voler reinstallare?
Clément
1
Perché può essere difficile assicurarsi che non ci siano più tracce dopo una pulizia, e solo un file php trascurato è tutto ciò che serve per risorgere. L'eliminazione dell'installazione e del ripristino da ben noti sarà più approfondita.
Cornelio,
4

Lo faccio in un altro modo: reindirizzandoli sul loro IP sullo stesso URI

Qualcosa come:

redirect301 = http://hackerIP/muieblackcat

Penso che sia più facile per il server inviare un reindirizzamento 301 che generare ogni volta la pagina 404.

Drakonoved
fonte
3

Secondo il Riepilogo degli aggiornamenti giornalieri del 24/06/2011 ( blog di Emerging Threat Pro ), è uno scanner alla ricerca di alcune violazioni nel tuo server; è sicuramente un intruso che dovresti bloccare. Cerca i tuoi log di accesso, dovresti ottenere il suo indirizzo IP.

Razique
fonte
13
Perché bloccarli? È un pentest gratuito. Usa il profilo di attacco per migliorare la tua sicurezza. Avranno comunque un nuovo IP tra 5 minuti. ;)
Dan
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.