Qu'est-ce que muieblackcat?

34

J'ai récemment installé ELMAH sur un petit site .NET MVC et je continue à recevoir des rapports d'erreur

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Ceci est évidemment une tentative d'accéder à une page qui n'existe pas. Mais pourquoi y a-t-il des tentatives pour accéder à cette page?

S'agit-il d'une attaque ou s'agit-il simplement d'un scan de bot pour voir si j'ai été infecté? Qu'est-ce que 'muieblackcat' exactement et pourquoi tente-t-on d'accéder à cette URL?

security iis RandomDev
la source
13
FYI muie signifie pipe en roumain.
Elzo Valugi

Réponses:

26

C'est juste un script de recherche de trous. Les demandes effectuées sont généralement les suivantes. Si vos serveurs répondent tous par une erreur 404, vous n'avez rien à craindre.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo Dans Le Nuage
la source
3
Se mettre d'accord. Je regarde ça en ce moment et envoie un rapport pour abuser de emai. Ma prochaine étape est un script csf qui le fait pour moi. Je vais spammer des emails d'abus à chaque attaque: D
m3nda
10

muieblackcat est un script / bot, soi-disant d'origine ukrainienne, qui tente d'exploiter les vulnérabilités ou les mauvaises configurations de PHP. Voir SUC027: Scanner Web / Robot Muieblackcat setup.php Web pour plus de détails.

Si vous n'utilisez pas PHP et avez désactivé mod_php , vous êtes en sécurité. Cependant, une requête pour / muieblackcat peut signifier que le bot a déjà visité votre site, peut-être avec succès. Je vous suggère de vérifier soigneusement votre configuration et votre contenu Web (si possible, effacez-les tous et réinstallez-les à partir d'un ensemble de sources fiables).

D'autre part, l'adresse IP d'origine est susceptible d'être inutile. La plupart des attaques proviennent d'utilisateurs Windows infectés non conscients.

Paul
la source
1
Pourquoi voudriez-vous réinstaller?
Clément
1
Parce qu'il peut être difficile de s'assurer qu'il ne reste aucune trace après un nettoyage, et qu'un seul fichier php oublié est tout ce dont il a besoin pour ressusciter. Effacer l’installation et la restauration de produits connus sera plus complet.
Cornelius
4

Je le fais autrement: redirigez-les sur leur IP sur le même URI

Quelque chose comme:

redirect301 = http://hackerIP/muieblackcat

Je pense qu'il est plus facile pour le serveur d'envoyer une redirection 301 que de générer la page 404 à chaque fois.

Drakonoved
la source
3

Selon le résumé quotidien des mises à jour 6/24/2011 ( blog Emerging Threat Pro ), il s'agit d'un scanner qui recherche des brèches dans votre serveur; c'est certainement un intrus que vous devriez bloquer. Recherchez vos journaux d’accès, vous devriez obtenir son adresse IP.

Razique
la source
13
Pourquoi les bloquer? C'est un pentest gratuit. Utilisez le profil d'attaque pour améliorer votre sécurité. De toute façon, ils vont avoir une nouvelle adresse IP dans 5 minutes. ;)
Dan