5

今朝、IIS ログに奇妙なレコードがいくつかあることに気付きました。

  • 193.169.40.39 - PHP ページに関連付けられています (2012-12-15 05:34:24 EST)

  • 121.14.73.8 - PHP ページに関連付けられています (2012-12-15 23:11:42 EST)

  • 167.206.74.237 - wordpress ページに関連付けられています (2012-12-16 22:38:37 EST)

  • 178.15.152.69 - wordpress ページに関連付けられています (2012-12-17 12:11:00 EST)

PHP / wordpress ページをホストしていないため、これは憂慮すべきことです。

Google で検索すると、muieblackcat は PHP の脆弱性を悪用しようとする Web ボットであると思われます。

PHP 環境をホストしていないので安全ですか? 私は IP をブロックすることを考えていましたが、ボットは何らかのプロキシを使用して汚い仕事をしている可能性が高くなります。

ワードプレスの PHP ファイル リクエストは、同じボットである可能性が高いですか? おそらく、muieblackcat に出くわしたことがある人なら、ワードプレスのリクエストに気付くでしょう。以下の IIS レコードを参照してください。

ASP.NET IIS 7 ホスティングに関して、より経験豊富な人が光を当てることができる防御メカニズム/予防策はありますか?

例:

奇妙な PHP エントリ

2012-12-15 05:34:24 /muieblackcat - 193.169.40.39 - 1424 140 224
2012-12-15 05:34:24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34 :24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34:24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34 :24 /admin/phpmyadmin/index.php - 193.169.40.39 - 1424 155 4 . . .

奇妙な WP エントリ

2012-12-16 22:38:37 /wp-login.php - 167.206.74.237 - 1405 219 281
2012-12-16 22:38:37 /blog/wp-login.php - 167.206.74.237 - 1405 224 60
2012-12-16 22:38:37 /wordpress/wp-login.php - 167.206.74.237 - 1405 229 60

2012-12-16 22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59

4

2 に答える 2

8

はい、あなたは安全です。私のサーバーはこのようなものを常に見ていますが、これらのアプリケーションがインストールされていなければ無害です。

于 2012-12-17T17:22:35.623 に答える
8

猫は WP と PhpMyAdmin の場所を推測しようとしているようです。応答があれば、次のステップは脆弱性を悪用できるかどうかを確認することだと思います。

基本的に、ポートスキャンのように機能します。WP と PhpMyAdmin がインストールされていない場合は、問題ありません。

通常、これらの種類のスキャナーは 1 回スキャンしますが、有用なものが見つからない場合は、その場を離れます。

于 2012-12-17T17:11:11.213 に答える