今天早上我注意到我们的 IIS 日志中有一些奇怪的记录来自:
193.169.40.39 - 与 PHP 页面相关联 (2012-12-15 05:34:24 EST)
121.14.73.8 - 与 PHP 页面相关联 (2012-12-15 23:11:42 EST)
167.206.74.237 - 与 wordpress 页面相关联 (2012-12-16 22:38:37 EST)
178.15.152.69 - 与 wordpress 页面相关联 (2012-12-17 12:11:00 EST)
这是令人震惊的,因为我们不托管 PHP / wordpress 页面。
谷歌搜索会让我相信 muieblackcat 是一个试图利用 PHP 漏洞的网络机器人。
因为我们没有托管 PHP 环境,所以我安全吗? 我曾想过阻止 IP,但机器人更可能使用某种代理来完成它的肮脏工作。
word-press PHP 文件请求是否很可能是同一个机器人?也许遇到过 muieblackcat 的人会认出 word-press 请求。请参阅下面的 IIS 记录。
关于 ASP.NET IIS 7 托管,是否有任何防御机制/预防措施?
例子:
奇怪的 PHP 条目
2012-12-15 05:34:24 /muieblackcat - 193.169.40.39 - 1424 140 224
2012-12-15 05:34:24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34 :24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34:24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34 :24 /admin/phpmyadmin/index.php - 193.169.40.39 - 1424 155 4。. .
奇怪的 WP 条目
2012-12-16 22:38:37 /wp-login.php - 167.206.74.237 - 1405 219 281
2012-12-16 22:38:37 /blog/wp-login.php - 167.206.74.237 - 1405 224 60
2012-12-16 22:38:37 /wordpress/wp-login.php - 167.206.74.237 - 1405 229 60
2012-12-16 22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59