web-dev-qa-db-fra.com

Qu'est-ce que muieblackcat?

J'ai récemment installé ELMAH sur un petit site MVC .NET et je continue de recevoir des rapports d'erreur

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Il s'agit évidemment d'une tentative d'accès à une page qui n'existe pas. Mais pourquoi tente-t-on d'accéder à cette page?

S'agit-il d'une attaque ou s'agit-il simplement d'une analyse de bot pour voir si j'ai été infecté? Qu'est-ce que "muieblackcat" et pourquoi tente-t-on d'accéder à cette URL?

securityiis
34
RandomDev

Ce n'est qu'un script de recherche de trous. Les demandes effectuées sont généralement les suivantes, si vos serveurs répondent à tous avec une erreur 404, vous n'avez rien à craindre.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
26
Iñigo InThe Cloud

muieblackcat est un script/bot, censé être d'origine ukrainienne, qui tente d'exploiter PHP vulnérabilités ou erreurs de configuration. Voir SUC027: Muieblackcat setup.php Web Scanner/Robot pour plus de détails.

Si vous n'utilisez pas PHP et avez désactivé mod_php , vous êtes en sécurité. Cependant, une demande de/muieblackcat peut signifier que le bot a déjà, peut-être avec succès, visité votre site. Je vous suggère de vérifier soigneusement votre configuration et votre contenu Web (si possible, supprimez tout et réinstallez à partir d'un ensemble de sources fiables).

D'un autre côté, l'adresse IP d'origine est susceptible d'être inutile. La plupart des attaques proviennent d'utilisateurs Windows infectés non avertis.

10
Paul

Je le fais d'une autre manière: redirigez-les sur leur IP sur le même URI

Quelque chose comme:

redirect301 = http://hackerIP/muieblackcat

Je pense qu'il est plus facile pour le serveur d'envoyer une redirection 301 que de générer la page 404 à chaque fois.

4
Drakonoved

Selon Résumé des mises à jour quotidiennes 24/06/2011 ( Emerging Threat Pro blog), c'est un scanner qui recherche des brèches dans votre serveur; c'est définitivement un intrus que vous devez bloquer. Recherchez vos journaux d'accès, vous devriez obtenir son adresse IP.

3
Razique