최근에 작은 .NET MVC 사이트에 ELMAH를 설치했는데 오류 보고서가 계속 나타납니다.
System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...
존재하지 않는 페이지에 액세스하려는 시도입니다. 그러나 왜이 페이지에 접근하려고 시도합니까?
이것이 공격입니까, 아니면 감염되었는지 봇 스캔입니까? ‘muieblackcat’이란 정확히 무엇이며이 URL에 액세스하려는 이유는 무엇입니까?
답변
구멍 찾기 스크립트 일뿐입니다. 요청은 일반적으로 다음과 같습니다. 서버가 404 오류로 모두 응답하면 걱정할 사항이 없습니다.
111.221.1.140 - - [20/Nov/2013:10:15:56 +0000] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //websql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:55 +0000] "GET //web/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:54 +0000] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:53 +0000] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:51 +0000] "GET //scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:50 +0000] "GET //pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:49 +0000] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:48 +0000] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:47 +0000] "GET //phpadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:46 +0000] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:45 +0000] "GET //phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:44 +0000] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:43 +0000] "GET //php-my-admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:42 +0000] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //mysql/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:41 +0000] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:40 +0000] "GET //dbadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:39 +0000] "GET //db/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:38 +0000] "GET //admin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:37 +0000] "GET //admin/pma/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:36 +0000] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:35 +0000] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1787 "-" "-"
111.221.1.140 - - [20/Nov/2013:10:15:34 +0000] "GET /muieblackcat HTTP/1.1" 404 1787 "-" "-"
답변
muieblackcat은 우크라이나에서 유래 한 것으로 추정되는 스크립트 / 봇으로 PHP 취약점 또는 구성 오류를 악용하려고 시도합니다. 자세한 내용은 SUC027 : Muieblackcat setup.php 웹 스캐너 / 로봇 을 참조하십시오.
PHP를 사용하지 않고 mod_php를 비활성화 한 경우 안전합니다. 그러나 / muieblackcat을 요청하면 봇이 이미 사이트를 성공적으로 방문했을 수 있습니다. 구성 및 웹 컨텐츠를 신중하게 확인하십시오 (가능한 경우 모두 삭제하고 신뢰할 수있는 소스 세트에서 다시 설치).
반면, 원래 IP 주소는 쓸모가 없을 수 있습니다. 대부분의 공격은 감염되지 않은 Windows 사용자를 대상으로합니다.
답변
다른 방법으로 수행하십시오 : 동일한 URI에서 IP로 리디렉션하십시오.
Somethig 같은 :
redirect301 = http://hackerIP/muieblackcat
매번 404 페이지를 생성하는 것보다 서버가 301 리디렉션을 보내는 것이 더 쉽다고 생각합니다.
답변
Daily Update Summary 6/24/2011 ( Emerging Threat Pro 블로그) 에 따르면 서버에서 위반을 찾는 스캐너입니다. 반드시 차단해야 할 침입자입니다. 액세스 로그를 찾으면 IP 주소를 가져와야합니다.