Was ist muieblackcat?

34

Ich habe ELMAH kürzlich auf einer kleinen .NET MVC-Site installiert und erhalte ständig Fehlermeldungen

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Dies ist offensichtlich ein Versuch, auf eine Seite zuzugreifen, die nicht existiert. Aber warum wird versucht, auf diese Seite zuzugreifen?

Handelt es sich um einen Angriff oder ist es einfach ein Bot-Scan, um festzustellen, ob ich infiziert bin? Was genau ist 'muieblackcat' und warum wird versucht, auf diese URL zuzugreifen?

security iis RandomDev
quelle
13
FYI muie bedeutet auf Rumänisch Blowjob.
Elzo Valugi

Antworten:

26

Es ist nur ein Hole Finder-Skript. Bei den gestellten Anforderungen handelt es sich normalerweise um die folgenden: Wenn Ihre Server alle mit einem 404-Fehler beantworten, müssen Sie sich keine Sorgen machen.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo in der Wolke
quelle
3
Zustimmen. Ich schaue mir das gerade an und sende einen Bericht, um Emai zu missbrauchen. Mein nächster Schritt ist ein CSF-Skript, das dies für mich erledigt. Ich werde Missbrauch von E - Mails auf jedem Angriff Spam: D
m3nda
10

muieblackcat ist ein Skript / Bot, der angeblich ukrainischen Ursprungs ist und versucht, PHP-Schwachstellen oder Fehlkonfigurationen auszunutzen. Weitere Informationen finden Sie in SUC027: Muieblackcat setup.php Web Scanner / Robot .

Wenn Sie nicht PHP verwenden und mod_php deaktiviert haben , sind Sie sicher. Eine Anfrage für / muieblackcat kann jedoch bedeuten, dass der Bot Ihre Site bereits, möglicherweise erfolgreich, besucht hat. Ich schlage vor, dass Sie Ihre Konfiguration und Ihren Webinhalt sorgfältig prüfen (wenn möglich, alle löschen und von einem vertrauenswürdigen Quellensatz neu installieren).

Andererseits ist es wahrscheinlich, dass die ursprüngliche IP-Adresse unbrauchbar ist. Die meisten Angriffe stammen von nicht erkannten infizierten Windows-Benutzern.

Paul
quelle
1
Warum sollten Sie neu installieren wollen?
Clément
1
Da es schwierig sein kann, sicherzustellen, dass nach einer Bereinigung absolut keine Spuren mehr vorhanden sind und nur eine übersehene PHP-Datei zur Wiederherstellung erforderlich ist. Das Löschen der Installation und das Wiederherstellen von einem bekannten Computer ist gründlicher.
Cornelius
4

Ich mache es auf eine andere Art und Weise: Leiten Sie sie auf ihre IP auf der gleichen URI um

Etwas wie:

redirect301 = http://hackerIP/muieblackcat

Ich denke, es ist einfacher für den Server, eine 301-Umleitung zu senden, als jedes Mal die 404-Seite zu generieren.

Drakonoved
quelle
3

Laut Daily Update Summary 6/24/2011 ( Emerging Threat Pro- Blog) handelt es sich um einen Scanner, der nach einigen Sicherheitslücken auf Ihrem Server sucht. Es ist definitiv ein Eindringling, den Sie blockieren sollten. Suchen Sie nach Ihren Zugriffsprotokollen, Sie sollten seine IP-Adresse erhalten.

Razique
quelle
13
Warum sie blockieren? Es ist ein freies Pentest. Verwenden Sie das Angriffsprofil, um Ihre Sicherheit zu verbessern. Sie werden in 5 Minuten sowieso eine neue IP haben. ;)
Dan