web-dev-qa-db-ja.com

muieblackcatとは何ですか?

最近、小さな.NET MVCサイトにELMAHをインストールしましたが、エラーレポートを受け取り続けます

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

これは明らかに、存在しないページにアクセスしようとする試みです。しかし、なぜこのページにアクセスしようとするのですか?

これは攻撃ですか、それともボットをスキャンして感染しているかどうかを確認するだけですか?正確には「muieblackcat」とは何ですか?なぜこのURLにアクセスしようとするのですか?

34
RandomDev

これは単なる穴のファインダースクリプトです。行われる要求は通常、次のようなものです。サーバーが404エラーですべてに応答した場合、何も心配する必要はありません。

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
26

muieblackcatは、おそらくウクライナ起源のスクリプト/ボットで、PHP脆弱性または設定ミスを悪用しようとします。SUC027:Muieblackcat setup.php Webを参照してください。スキャナー/ロボット詳細。

PHP=を使用しておらず、非アクティブ化されている場合 mod_php であれば安全です。ただし、/ muieblackcatのリクエストは、ボットがすでに、おそらく成功していることを意味します。サイトにアクセスしました。構成とWebコンテンツを慎重に確認することをお勧めします(可能であれば、すべてを消去して、信頼できるソースセットから再インストールします)。

一方、元のIPアドレスは役に立たない可能性があります。ほとんどの攻撃は、気付かない感染したWindowsユーザーからのものです。

10
Paul

私はそれを別の方法で行います:同じURIのIPにリダイレクトします

何かのようなもの:

redirect301 = http://hackerIP/muieblackcat

サーバーが毎回404ページを生成するよりも301リダイレクトを送信する方が簡単だと思います。

4
Drakonoved

Daily Update Summary 6/24/2011Emerging Threat Problog)、それはあなたのサーバーでいくつかの違反を探しているスキャナーです。ブロックするのは間違いなく侵入者です。アクセスログを探してください。IPアドレスがわかります。

3
Razique