O que é o muieblackcat?

Question

O que é o muieblackcat?

#1 resposta do (26 votos)
#2 resposta do (11 votos)
#3 resposta do (4 votos)
#4 resposta do (3 votos)

34

Eu instalei recentemente o ELMAH em um pequeno site do .NET MVC e continuo recebendo relatórios de erros

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

Esta é obviamente uma tentativa de acessar uma página que não existe. Mas por que há tentativas de acessar essa página?

Isso é um ataque ou é simplesmente uma varredura de bot para ver se eu fui infectado? O que exatamente é 'muieblackcat' e por que há uma tentativa de acessar esse URL?

por RandomDev 08.09.2011 / 12:55

4 respostas

Alterando permissões de host para usuários do MySQL Alguém pode esclarecer o dist-upgrade do Ubuntu (Debian) para mim?

score 26 · Answer 1

É apenas um script de busca de buraco. As solicitações feitas geralmente são as seguintes, se seus servidores responderem com um erro 404, você não precisa se preocupar com nada.

111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"

score 11 · Answer 2

muieblackcat é script / bot, supostamente de origem ucraniana, que tenta explorar vulnerabilidades ou erros de configuração do PHP. Veja SUC027: Muieblackcat setup.php Web Scanner / Robô para mais detalhes.

Se você não estiver usando PHP e tiver desativado o mod_php , estará seguro. No entanto, um pedido de / muieblackcat pode significar que o bot já visitou o seu site, talvez com sucesso. Eu sugiro que você verifique cuidadosamente sua configuração e conteúdo da web (se possível, apague tudo e reinstale de um conjunto de fontes confiáveis).

Por outro lado, o endereço IP de origem provavelmente será inútil. A maioria dos ataques vem de usuários Windows inconscientes infectados.

score 4 · Answer 3

Eu faço de outra maneira: redirecioná-los no IP deles no mesmo URI

Algo como:

redirect301 = http://hackerIP/muieblackcat

Acho mais fácil para o servidor enviar um redirecionamento 301 do que gerar a página 404 a cada vez.

score 3 · Answer 4

De acordo com Resumo diário da atualização 24/06/2011 ( Emerging Threat Pro blog), é um scanner que está procurando por algumas violações em seu servidor; é definitivamente um intruso que você deveria bloquear. Procure seus logs de acesso, você deve obter o endereço IP.