muieblackcatとは?


34

最近、小さな.NET MVCサイトにELMAHをインストールしましたが、エラーレポートを受信し続けます

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

これは明らかに、存在しないページにアクセスする試みです。しかし、なぜこのページにアクセスしようとするのでしょうか?

これは攻撃ですか、それとも単にボットがスキャンされて、自分が感染したかどうかを確認するためですか?「muieblackcat」とは正確には何ですか?なぜこのURLにアクセスしようとするのですか?


13
FYI muieはルーマニア語でフェラを意味します。
エルゾヴァルギ

回答:


26

これは単なるホールファインダースクリプトです。通常、行われるリクエストは次のとおりです。サーバーがすべて404エラーで応答する場合、心配することはありません。

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

3
同意する。今それを見て、emaiを悪用するレポートを送信しています。次のステップは、私のために行うcsfスクリプトです。私は各攻撃で虐待メールをスパムします:D
m3nda

10

muieblackcatは、ウクライナの起源と思われるスクリプト/ボットで、PHPの脆弱性や設定の誤りを悪用しようとします。詳細については、SUC027:Muieblackcat setup.php Web Scanner / Robotを参照してください。

PHPを使用しておらず、mod_phpを無効にしている場合は安全です。ただし、/ muieblackcatのリクエストは、ボットが既にサイトにアクセスしている可能性があります。構成とWebコンテンツを慎重に確認することをお勧めします(可能であれば、すべてを消去し、信頼できるソースセットから再インストールします)。

一方、発信元のIPアドレスは役に立たない可能性があります。ほとんどの攻撃は、感染していないWindowsユーザーから発生します。


1
再インストールする理由は何ですか?
クレメント

1
クリーンアップ後にトレースがまったくないことを確認するのは困難な場合があるため、見落とされたphpファイルは1つだけで復活する必要があります。インストールの消去と既知の正常な状態からの復元は、より徹底的に行われます。
コーネリアス

4

私はそれを別の方法で行います:それらを同じURIのIPにリダイレクトします

のような:

redirect301 = http://hackerIP/muieblackcat

サーバーが毎回404ページを生成するよりも301リダイレクトを送信する方が簡単だと思います。


3

Daily Update Summary 6/24/2011Emerging Threat Proブログ)によれば、これはスキャナーであり、サーバーのいくつかの違反を探しています。ブロックするのは間違いなく侵入者です。アクセスログを探して、そのIPアドレスを取得する必要があります。


13
ブロックする理由 無料のペンテストです。攻撃プロファイルを使用して、セキュリティを強化します。とにかく、彼らは今から5分後に新しいIPを持つことになります。;)
ダン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.