O que é muieblackcat?

34

Instalei recentemente o ELMAH em um site .NET MVC pequeno e continuo recebendo relatórios de erros

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Obviamente, isso é uma tentativa de acessar uma página que não existe. Mas por que existem tentativas de acessar esta página?

Isso é um ataque ou é simplesmente uma verificação de bot para ver se eu fui infectado? O que exatamente é 'muieblackcat' e por que existe uma tentativa de acessar este URL?

security  iis 
RandomDev
fonte
13
FYI muie significa boquete em romeno.
Elzo Valugi

Respostas:

26

É apenas um script localizador de buracos. As solicitações feitas são geralmente as seguintes, se seus servidores responderem a todos com um erro 404, você não precisará se preocupar com nada.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo InThe Cloud
fonte
3
Aceita. Estou assistindo isso agora e enviando uma denúncia para abusar do emai. Meu próximo passo é um script csf que faz isso por mim. Vou enviar spam e-mails de abuso em cada ataque: D
m3nda
10

O muieblackcat é um script / bot, supostamente de origem ucraniana, que tenta explorar vulnerabilidades ou configurações incorretas do PHP. Consulte SUC027: Muieblackcat setup.php Web Scanner / Robot para obter mais detalhes.

Se você não está usando PHP e desativou o mod_php , está seguro. No entanto, uma solicitação para / muieblackcat pode significar que o bot já visitou, talvez com sucesso, seu site. Sugiro que você verifique cuidadosamente sua configuração e conteúdo da Web (se possível, apague tudo e reinstale a partir de um conjunto de fontes confiáveis).

Por outro lado, é provável que o endereço IP de origem seja inútil. A maioria dos ataques vem de usuários inconscientes do Windows infectados.

Paulo
fonte
11
Por que você deseja reinstalar?
Clément
11
Como pode ser difícil garantir que não haja absolutamente nenhum vestígio após uma limpeza, e apenas um arquivo php esquecido é tudo o que precisa para ressuscitar. Limpar a instalação e a restauração de produtos conhecidos será mais completo.
Cornelius
4

Faço isso de outra maneira: redirecioná-los no IP deles no mesmo URI

Algo como:

redirect301 = http://hackerIP/muieblackcat

Eu acho que é mais fácil para o servidor enviar um redirecionamento 301 do que gerar a página 404 a cada vez.

Drakonoved
fonte
3

De acordo com o Resumo da atualização diária, 24/06/2011 ( blog Emerging Threat Pro ), é um scanner que está procurando por algumas violações no servidor; é definitivamente um intruso que você deve bloquear. Procure seus logs de acesso, você deve obter o endereço IP.

Razique
fonte
13
Por que bloqueá-los? É um teste grátis. Use o perfil de ataque para aumentar sua segurança. De qualquer maneira, eles terão um novo IP daqui a 5 minutos. ;) #
1155
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.