34 votes

Mark avatar

Qu'est-ce que muieblackcat ?

Demandé el 8 de Septembre, 2011
Quand la question a-t-elle été
69321 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment installé ELMAH sur un petit site MVC .NET et je continue à recevoir des rapports d'erreur

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Il s'agit manifestement d'une tentative d'accès à une page qui n'existe pas. Mais pourquoi y a-t-il des tentatives d'accès à cette page ?

S'agit-il d'une attaque ou simplement d'un robot qui vérifie si j'ai été infecté ? Qu'est-ce que "muieblackcat" exactement et pourquoi y a-t-il une tentative d'accès à cette URL ?

Demandé el 8 de Septembre, 2011 par Mark

Réponses

Trop de publicités?

26voto

Iñigo InThe Cloud avatar
Iñigo InThe Cloud Points 341

Il s'agit simplement d'un script de recherche de trous script. Les requêtes effectuées sont typiquement les suivantes, si vos serveurs répondent tous par une erreur 404, vous n'avez pas à vous inquiéter.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Répondu el 20 de Novembre, 2013 par Iñigo InThe Cloud (341 Points )

10voto

Paul avatar
Paul Points 152

Muieblackcat est un script/bot, supposé d'origine ukrainienne, qui tente d'exploiter les vulnérabilités ou les mauvaises configurations de PHP. Voir SUC027 : Muieblackcat setup.php Web Scanner/Robot pour plus de détails.

Si vous n'utilisez pas PHP et que vous avez désactivé l'option mod_php vous êtes en sécurité. Toutefois, une demande de /muieblackcat peut signifier que le robot a déjà visité votre site, peut-être avec succès. I suggère de vérifier soigneusement votre configuration et votre contenu web (si possible, effacez tout et réinstallez à partir d'une base de données). à partir d'un ensemble de sources fiables).

En revanche, l'adresse IP d'origine risque d'être inutile. La plupart des attaques proviennent d'utilisateurs de Windows infectés et inconscients.

Répondu el 15 de Septembre, 2011 par Paul (152 Points )

4voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Je procède autrement : je les redirige vers leur IP sur le même URI. Quelque chose comme ça :

redirect301 = http://hackerIP/muieblackcat

Je pense qu'il est plus facile pour le serveur d'envoyer une redirection 301 que de renvoyer une page 404 à chaque fois.

Répondu el 3 de Novembre, 2017 par Utilisateur non enregistré (0 Points )

3voto

Razique avatar
Razique Points 2236

Selon le Résumé des mises à jour quotidiennes 24/06/2011 ( Menace émergente Pro blog), il s'agit d'un scanner qui cherche des failles dans votre serveur ; c'est certainement un intrus que vous devez bloquer. Consultez vos journaux d'accès, vous devriez obtenir son adresse IP.

Répondu el 8 de Septembre, 2011 par Razique (2236 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X