5

今天早上我注意到我们的 IIS 日志中有一些奇怪的记录来自:

  • 193.169.40.39 - 与 PHP 页面相关联 (2012-12-15 05:34:24 EST)

  • 121.14.73.8 - 与 PHP 页面相关联 (2012-12-15 23:11:42 EST)

  • 167.206.74.237 - 与 wordpress 页面相关联 (2012-12-16 22:38:37 EST)

  • 178.15.152.69 - 与 wordpress 页面相关联 (2012-12-17 12:11:00 EST)

这是令人震惊的,因为我们不托管 PHP / wordpress 页面。

谷歌搜索会让我相信 muieblackcat 是一个试图利用 PHP 漏洞的网络机器人。

因为我们没有托管 PHP 环境,所以我安全吗? 我曾想过阻止 IP,但机器人更可能使用某种代理来完成它的肮脏工作。

word-press PHP 文件请求是否很可能是同一个机器人?也许遇到过 muieblackcat 的人会认出 word-press 请求。请参阅下面的 IIS 记录。

关于 ASP.NET IIS 7 托管,是否有任何防御机制/预防措施?

例子:

奇怪的 PHP 条目

2012-12-15 05:34:24 /muieblackcat - 193.169.40.39 - 1424 140 224
2012-12-15 05:34:24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34 :24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34:24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34 :24 /admin/phpmyadmin/index.php - 193.169.40.39 - 1424 155 4。. .

奇怪的 WP 条目

2012-12-16 22:38:37 /wp-login.php - 167.206.74.237 - 1405 219 281
2012-12-16 22:38:37 /blog/wp-login.php - 167.206.74.237 - 1405 224 60
2012-12-16 22:38:37 /wordpress/wp-login.php - 167.206.74.237 - 1405 229 60

2012-12-16 22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59

4

2 回答 2

8

看起来这只猫正在尝试猜测 WP 和 PhpMyAdmin 的位置,如果它得到响应,我猜下一步是检查它是否可以利用该漏洞。

基本上,它就像端口扫描一样工作。如果你没有安装 WP 和 PhpMyAdmin,你应该没问题。

通常,这类扫描仪会扫描一次,如果没有发现对他们有用的东西,他们就会离开。

于 2012-12-17T17:11:11.213 回答
8

的,你很安全。我的服务器一直看到这样的事情,如果你没有安装这些应用程序,它们是无害的。

于 2012-12-17T17:22:35.623 回答