¿Qué es muieblackcat?

34

Recientemente instalé ELMAH en un pequeño sitio .NET MVC y sigo recibiendo informes de errores

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Obviamente, este es un intento de acceder a una página que no existe. Pero, ¿por qué hay intentos de acceder a esta página?

¿Es este un ataque o es simplemente un escaneo de bot para ver si he sido infectado? ¿Qué es exactamente 'muieblackcat' y por qué hay un intento de acceder a esta URL?

security  iis 
RandomDev
fuente
13
FYI muie significa mamada en rumano.
Elzo Valugi

Respuestas:

26

Es solo un script de buscador de agujeros. Las solicitudes realizadas suelen ser las siguientes: si sus servidores responden todas con un error 404, no tiene nada de qué preocuparse.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
Iñigo en la nube
fuente
3
De acuerdo. Estoy viendo eso ahora y enviando un informe para abusar de emai. Mi siguiente paso es un script csf que lo hace por mí.
Enviaré
10

muieblackcat es un script / bot, supuestamente de origen ucraniano, que intenta explotar vulnerabilidades o configuraciones incorrectas de PHP. Vea SUC027: Muieblackcat setup.php Web Scanner / Robot para más detalles.

Si no está utilizando PHP y ha desactivado mod_php , está a salvo. Sin embargo, una solicitud de / muieblackcat puede significar que el bot ya ha visitado su sitio, tal vez con éxito. Le sugiero que revise cuidadosamente su configuración y contenido web (si es posible, borre todo y vuelva a instalar desde un conjunto de fuentes de confianza).

Por otro lado, es probable que la dirección IP de origen sea inútil. La mayoría de los ataques provienen de usuarios de Windows infectados no conscientes.

Paul
fuente
1
¿Por qué querrías reinstalar?
Clément
1
Debido a que puede ser difícil asegurarse de que no quede absolutamente ningún rastro después de una limpieza, y solo un archivo PHP pasado por alto es todo lo que necesita para resucitar. Limpiar la instalación y restaurar de bien conocido será más exhaustivo.
Cornelius el
4

Lo hago de otra manera: redirigirlos en su IP en el mismo URI

Algo como:

redirect301 = http://hackerIP/muieblackcat

Creo que es más fácil para el servidor enviar una redirección 301 que generar la página 404 cada vez.

Drakonoved
fuente
3

De acuerdo con el Resumen de actualización diaria del 6/24/2011 ( blog Emerging Threat Pro ), es un escáner que busca algunas brechas en su servidor; definitivamente es un intruso que debes bloquear. Busque sus registros de acceso, debe obtener su dirección IP.

Razique
fuente
13
¿Por qué bloquearlos? Es un pentest gratis. Use el perfil de ataque para mejorar su seguridad. De todos modos, tendrán una nueva IP dentro de 5 minutos. ;)
Dan
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.