今天早上我发现我们的IIS日志中有一些奇怪的记录来自;
193.169.40.39 - 与PHP页面相关联(2012-12-15 05:34:24 EST)
121.14.73.8 - 与PHP页面相关联(2012-12-15 23:11:42 EST)
167.206.74.237 - 与wordpress页面相关联(2012-12-16 22:38:37 EST)
178.15.152.69 - 与wordpress页面相关联(2012-12-17 12:11:00 EST)
这是令人担忧的,因为我们不托管PHP / wordpress页面。
谷歌搜索会让我相信muieblackcat是一个试图利用PHP漏洞的网络机器人。
我是否安全,因为我们没有托管PHP环境?我曾想过阻止IP,但是机器人更可能会使用某种代理来完成这项工作。< / p>
word-press PHP文件是否更多地请求相同的机器人?也许遇到muieblackcat的人会识别出按字的请求。请参阅下面的IIS记录。
对于ASP.NET IIS 7托管,是否有更多有经验的防御机制/预防措施可以发挥作用?
示例:
奇怪的PHP条目
2012-12-15 05:34:24 / muieblackcat - 193.169.40.39 - 1424 140 224
2012-12-15 05:34:24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34:24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34:24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34:24 /admin/phpmyadmin/index.php - 193.169.40.39 - 1424 155 4
。
。
奇怪的WP条目
2012-12-16 22:38:37 /wp-login.php - 167.206.74.237 - 1405 219 281
2012-12-16 22:38:37 /blog/wp-login.php - 167.206.74.237 - 1405 224 60
2012-12-16 22:38:37 /wordpress/wp-login.php - 167.206.74.237 - 1405 229 60
2012-12-16 22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59
答案 0 :(得分:8)
看起来猫正试图猜测WP和PhpMyAdmin的位置,如果它得到响应,我想下一步是检查它是否可以利用漏洞。
基本上,它就像端口扫描一样工作。如果您没有安装WP和PhpMyAdmin,那么您应该没问题。
通常情况下,这类扫描仪会扫描一次,如果没有找到对它们有用的东西,它们就会离开。
答案 1 :(得分:7)
是,你很安全。我的服务器一直看到这样的东西,如果你没有安装这些应用程序,它们就会无害。