muieblackcatからの保護BOT

Question

今朝私は、私たちのIISログのいくつかの奇妙な記録に気付きました。

• 193.169.40.39 - PHPページに関連付けられている（2012年12月15日5時34分24秒EST）

• 121.14.73.8 - PHPページに関連付けられている（2012年12月15日午後11時11分：42 EST）

• 167.206.74.237 - ワードプレスページ（2012年12月16日午前22時38分37秒EST）

• 178.15.152.69に関連付け - ワードプレスページに関連付けられている（2012年12月17日12 ：11：00 EST）

私たちはホストPHP /ワードプレスページではないので、これは驚くべきことです。

muieblackcatはPHPの脆弱性を悪用しようとするウェブボットだと私は信じています。

私はPHP環境をホストしていないので安全ですか？私はIPをブロックすることを考えていましたが、もう一度、ボットは汚い作業をするために何らかのプロキシを使用していました。

ワードプレスのPHPファイルリクエストは、おそらく同じボットですか？おそらく、muieblackcatに入った人は、ワードプレス要求を認識します。以下のIISレコードをご覧ください。

ASP.NET IIS 7のホスティングに関して、経験が豊富な方は、防御メカニズム/予防策がありますか？

例： - 193.169.40.39 -

奇数PHPは

2012年12月15日午前5時34分24秒/ muieblackcatエントリ1424 140 224
2012年12月15日午前5時34を： 24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34:24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34： 24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34:24/admin/phpmyadmin/index。 ph - 193.169.40.39 - 1424 155 4 。 。 。

奇数WPエントリ

2012年12月16日午前22時38分37秒/wp-login.php - 167.206.74.237 - 1405 219 281
2012年12月16日午前22時38分37秒/ブログ/ WP-login.php - 1405 224 60
2012年12月16日夜10時38分37秒/wordpress/wp-login.php - - 167.206.74.237 167.206.74.237 - 1405 229 60

2012年12月16日22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59

Answer 1

猫がWPとPhpMyAdminの位置を推測しようとしているようです次のステップは、この脆弱性を悪用できるかどうかを確認することです。

基本的には、ポートスキャンのように機能します。 WPとPhpMyAdminがインストールされていない場合は、[OK]をクリックします。

通常、これらの種類のスキャナは一度スキャンします。有用なものが見つからなかった場合は、スキャンします。

Answer 2

はい、あなたは安全です。私のサーバーには常にこのようなものがありますが、それらのアプリケーションがインストールされていないと無害です。