34 votes

Qu'est-ce que muieblackcat ?

J'ai récemment installé ELMAH sur un petit site MVC .NET et je continue à recevoir des rapports d'erreur

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Il s'agit manifestement d'une tentative d'accès à une page qui n'existe pas. Mais pourquoi y a-t-il des tentatives d'accès à cette page ?

S'agit-il d'une attaque ou simplement d'un robot qui vérifie si j'ai été infecté ? Qu'est-ce que "muieblackcat" exactement et pourquoi y a-t-il une tentative d'accès à cette URL ?

26voto

Il s'agit simplement d'un script de recherche de trous script. Les requêtes effectuées sont typiquement les suivantes, si vos serveurs répondent tous par une erreur 404, vous n'avez pas à vous inquiéter.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

10voto

Paul Points 152

Muieblackcat est un script/bot, supposé d'origine ukrainienne, qui tente d'exploiter les vulnérabilités ou les mauvaises configurations de PHP. Voir SUC027 : Muieblackcat setup.php Web Scanner/Robot pour plus de détails.

Si vous n'utilisez pas PHP et que vous avez désactivé l'option mod_php vous êtes en sécurité. Toutefois, une demande de /muieblackcat peut signifier que le robot a déjà visité votre site, peut-être avec succès. I suggère de vérifier soigneusement votre configuration et votre contenu web (si possible, effacez tout et réinstallez à partir d'une base de données). à partir d'un ensemble de sources fiables).

En revanche, l'adresse IP d'origine risque d'être inutile. La plupart des attaques proviennent d'utilisateurs de Windows infectés et inconscients.

4voto

Je procède autrement : je les redirige vers leur IP sur le même URI. Quelque chose comme ça :

redirect301 = http://hackerIP/muieblackcat

Je pense qu'il est plus facile pour le serveur d'envoyer une redirection 301 que de renvoyer une page 404 à chaque fois.

3voto

Razique Points 2236

Selon le Résumé des mises à jour quotidiennes 24/06/2011 ( Menace émergente Pro blog), il s'agit d'un scanner qui cherche des failles dans votre serveur ; c'est certainement un intrus que vous devez bloquer. Consultez vos journaux d'accès, vous devriez obtenir son adresse IP.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X