Co to jest muieblackcat?

34

Niedawno zainstalowałem ELMAH na małej witrynie .NET MVC i ciągle otrzymuję raporty o błędach

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Jest to oczywiście próba dostępu do strony, która nie istnieje. Ale dlaczego próbuje się uzyskać dostęp do tej strony?

Czy to atak, czy tylko skanowanie bota w celu wykrycia infekcji? Czym dokładnie jest „muieblackcat” i dlaczego próbuje się uzyskać dostęp do tego adresu URL?

RandomDev
źródło
13
FYI muie oznacza sex oralny w języku rumuńskim.
Elzo Valugi,

Odpowiedzi:

26

To tylko skrypt wyszukiwania otworów. Zgłoszenia są zazwyczaj następujące: jeśli twoje serwery odpowiedzą na wszystkie błędy z błędem 404, nie masz się czym martwić.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo In The Cloud
źródło
3
Zgodzić się. Oglądam to teraz i wysyłam raport o nadużyciach emai. Mój następny krok to skrypt csf, który robi to za mnie. Będę spamować e-maile o nadużyciach przy każdym ataku: D
m3nda
10

muieblackcat to skrypt / bot, prawdopodobnie pochodzenia ukraińskiego, który próbuje wykorzystać luki w PHP lub błędne konfiguracje. Więcej informacji można znaleźć w SUC027: Muieblackcat setup.php Web Scanner / Robot .

Jeśli nie używasz PHP i dezaktywowałeś mod_php , jesteś bezpieczny. Jednak prośba o / muieblackcat może oznaczać, że bot już, być może z powodzeniem, odwiedził twoją stronę. Sugeruję dokładne sprawdzenie konfiguracji i zawartości sieci (jeśli to możliwe, usuń wszystko i zainstaluj ponownie z zaufanego zestawu źródłowego).

Z drugiej strony źródłowy adres IP prawdopodobnie będzie bezużyteczny. Większość ataków pochodzi od nieświadomych zainfekowanych użytkowników systemu Windows.

Paweł
źródło
1
Dlaczego chcesz ponownie zainstalować?
Clément
1
Ponieważ może być trudno upewnić się, że po czyszczeniu nie pozostały absolutnie żadne ślady, a tylko jeden przeoczony plik php jest wszystkim, czego potrzebuje, aby wskrzesić. Wycieranie instalacji i przywracanie ze znanego dobra będzie bardziej dokładne.
Cornelius,
4

Robię to w inny sposób: przekierowuję je na ich adres IP na tym samym URI

Coś jak:

redirect301 = http://hackerIP/muieblackcat

Myślę, że serwerowi łatwiej jest wysłać przekierowanie 301 niż za każdym razem generować stronę 404.

Drakonoved
źródło
3

Zgodnie z podsumowaniem codziennej aktualizacji 6/24/2011 ( blog Emerging Threat Pro ) jest to skaner, który szuka pewnych luk na serwerze; zdecydowanie jest to intruz, którego należy zablokować. Poszukaj dzienników dostępu, powinieneś uzyskać jego adres IP.

Razique
źródło
13
Po co je blokować? To darmowy pentest. Użyj profilu ataku, aby zwiększyć swoje bezpieczeństwo. W każdym razie będą mieli nowe IP za 5 minut. ;)
Dan.