म्यूइलैकैट क्या है?

34

मैंने हाल ही में एक छोटे से .NET MVC साइट पर ELMAH स्थापित किया है और मैं त्रुटि रिपोर्ट प्राप्त करता रहता हूं

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

यह स्पष्ट रूप से उस पृष्ठ तक पहुंचने का प्रयास है जो मौजूद नहीं है। लेकिन इस पृष्ठ तक पहुंचने के प्रयास क्यों हैं?

क्या यह एक हमला है या यह सिर्फ एक बॉट स्कैनिंग है यह देखने के लिए कि क्या मुझे संक्रमित किया गया है? वास्तव में 'muieblackcat' क्या है और इस URL तक पहुंचने का प्रयास क्यों है?

security  iis 
RandomDev
स्रोत
13
FYI करें म्यूई का अर्थ है रोमानियाई में blowjob।
एल्जो वालुगी

जवाबों:

26

यह सिर्फ एक छेद खोजक स्क्रिप्ट है। किए गए अनुरोध आमतौर पर निम्नलिखित हैं, यदि आपके सर्वर 404 त्रुटि के साथ सभी का जवाब देते हैं, तो आपके पास चिंता करने के लिए कुछ भी नहीं है।

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
इनिगो इन द क्लाउड
स्रोत
3
इस बात से सहमत। मैं देख रहा हूँ कि अभी और दुरुपयोग करने के लिए एक रिपोर्ट भेजने emai। मेरा अगला कदम एक csf स्क्रिप्ट है जो यह मेरे लिए करता है। मैं प्रत्येक हमले पर दुर्व्यवहार के ईमेल को स्पैम कर दूंगा: D
m3nda
10

muieblackcat यूक्रेनी मूल की लिपि / बॉट है, जो PHP की कमजोरियों या गलतफहमी का फायदा उठाने की कोशिश करता है। SUC027 देखें : Muieblackcat setup.php वेब स्कैनर / रोबोट के बारे में अधिक जानकारी के लिए।

यदि आप PHP का उपयोग नहीं कर रहे हैं और mod_php निष्क्रिय कर चुके हैं, तो आप सुरक्षित हैं। हालाँकि, / muieblackcat के लिए अनुरोध का अर्थ यह हो सकता है कि बॉट पहले से ही है, शायद सफलतापूर्वक, आपकी साइट का दौरा किया। मेरा सुझाव है कि आप अपने कॉन्फ़िगरेशन और वेब सामग्री की सावधानीपूर्वक जांच करें (यदि संभव हो तो सभी मिटा दें और किसी विश्वसनीय स्रोत सेट से पुनर्स्थापित करें)।

दूसरी ओर, मूल आईपी एड्रेस बेकार होने की संभावना है। अधिकांश हमले अनजान संक्रमित विंडोज उपयोगकर्ताओं से आते हैं।

पॉल
स्रोत
1
आप क्यों पुनर्स्थापित करना चाहते हैं?
क्लेमेंट
1
क्योंकि यह सुनिश्चित करना मुश्किल हो सकता है कि एक सफाई के बाद बिल्कुल कोई निशान नहीं बचा है, और केवल एक अनदेखी php फ़ाइल है यह सभी को पुनर्जीवित करने की आवश्यकता है। स्थापना को पोंछना और ज्ञात-अच्छे से बहाल करना अधिक गहन होगा।
कॉर्नेलियस
4

मैं इसे दूसरे तरीके से करता हूं: उन्हें एक ही यूआरआई पर उनके आईपी पर पुनर्निर्देशित करें

सोमेथिग जैसे:

redirect301 = http://hackerIP/muieblackcat

मुझे लगता है कि हर बार 404 पेज बनाने की तुलना में 301 रीडायरेक्ट भेजना सर्वर के लिए आसान है।

Drakonoved
स्रोत
3

के अनुसार दैनिक अद्यतन सारांश 2011/06/24 ( उभरते खतरा प्रो ब्लॉग), यह एक स्कैनर जो अपने सर्वर में कुछ उल्लंघनों के लिए लग रही है है, यह निश्चित रूप से एक घुसपैठिया है जिसे आपको ब्लॉक करना चाहिए। अपने प्रवेश लॉग की तलाश करें, आपको इसका आईपी पता प्राप्त करना चाहिए।

Razique
स्रोत
13
उन्हें ब्लॉक क्यों करें? यह एक फ्री पेंटेस्ट है। अपनी सुरक्षा बढ़ाने के लिए हमले की प्रोफ़ाइल का उपयोग करें। वे अब से वैसे भी एक नया आईपी 5 मिनट के लिए जा रहे हैं। ;)
दान
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.