Frage Was ist muieblackcat?


Ich habe ELMAH kürzlich auf einer kleinen .NET MVC-Site installiert und erhalte weiterhin Fehlermeldungen

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Dies ist offensichtlich ein Versuch, auf eine Seite zuzugreifen, die nicht existiert. Aber warum gibt es Versuche, auf diese Seite zuzugreifen?

Ist das ein Angriff oder ist es einfach ein Bot-Scan, um zu sehen, ob ich infiziert wurde? Was genau ist "muieblackcat" und warum wird versucht, auf diese URL zuzugreifen?


34
2017-09-08 10:55


Ursprung


FYI muie bedeutet Blowjob auf Rumänisch. - Elzo Valugi


Antworten:


Es ist nur ein Lochfinder-Skript. Die Anfragen sind typischerweise die folgenden, wenn Ihre Server alle mit einem 404-Fehler antworten, müssen Sie sich keine Sorgen machen.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

26
2017-11-20 10:38



Zustimmen. Ich beobachte das gerade und sende einen Bericht an den Missbrauch von Emai. Mein nächster Schritt ist ein csf-Skript, das es für mich tut. Ich werde bei jedem Angriff E-Mails mit Spam versenden: D - erm3nda


muieblackcat ist ein Skript / Bot, vermutlich aus der Ukraine, das versucht, PHP-Sicherheitslücken oder Fehlkonfigurationen auszunutzen. Sehen SUC027: Muieblackcat setup.php Web Scanner / Roboter für mehr Details.

Wenn Sie PHP nicht verwenden und deaktiviert haben mod_php, Du bist sicher. Jedoch eine Anfrage für / muieblackcat kann bedeuten, dass der Bot Ihre Website bereits erfolgreich besucht hat. ich empfehlen, dass Sie Ihre Konfiguration und Webinhalte sorgfältig prüfen (wenn möglich, löschen Sie alle und installieren Sie neu aus einer vertrauenswürdigen Quellengruppe).

Auf der anderen Seite ist die ursprüngliche IP-Adresse wahrscheinlich nutzlos. Die meisten Angriffe kommen von nicht infizierten Windows-Benutzern.


11
2017-09-15 18:18



Warum möchtest du neu installieren? - Clément
Weil es schwierig sein kann, sicherzustellen, dass nach einer Bereinigung absolut keine Spuren mehr vorhanden sind, und nur eine übersehene PHP-Datei ist alles, was sie wiederbeleben muss. Das Löschen der Installation und Wiederherstellung von bekannt-gut wird gründlicher sein. - Cornelius


Ich mache es auf eine andere Weise: Redirect sie auf ihrer IP auf dem gleichen URI

Etwas wie:

redirect301 = http://hackerIP/muieblackcat

Ich denke, es ist einfacher für den Server, eine 301-Weiterleitung zu senden, als jedes Mal die 404-Seite zu generieren.


4
2017-11-03 18:26





Gemäß Zusammenfassung der täglichen Updates 24.6.2011 (Emerging Threat Pro blog), ist es ein Scanner, der nach einigen Durchbrüchen in Ihrem Server sucht; Es ist definitiv ein Eindringling, den Sie blockieren sollten. Suchen Sie nach Ihren Zugriffsprotokollen, Sie sollten seine IP-Adresse erhalten.


3
2017-09-08 11:20



Warum sie blockieren? Es ist ein freier Penstest. Verwenden Sie das Angriffsprofil, um Ihre Sicherheit zu verbessern. Sie werden sowieso eine neue IP in 5 Minuten haben. ;) - Dan