今天早上我注意到我们的IIS日志中有一些奇怪的记录来自;
193.169.40.39 - 与PHP页面相关联(2012-12-15 05:34:24 EST)
121.14.73.8 - 与PHP页面相关联(2012-12-15 23:11:42 EST)
167.206.74.237 - 与wordpress页面相关(2012-12-16 22:38:37 EST)
178.15.152.69 - 与wordpress页面相关联(2012-12-17 12:11:00 EST)
这是令人担忧的,因为我们不托管PHP/wordpress页面.
谷歌搜索会让我相信muieblackcat是一个试图利用PHP漏洞的网络机器人.
我安全,因为我们没有托管PHP环境? 我曾想过阻止IP,但是再一次,机器人更可能使用某种代理来完成它的肮脏工作.
word-press PHP文件请求的可能性多于同一个机器人?也许遇到muieblackcat的人会识别出按字的请求.请参阅下面的IIS记录.
关于ASP.NET IIS 7托管,是否有更多有经验的防御机制/预防措施可以发挥作用?
例:
奇怪的PHP条目
2012-12-15 05:34:24/muieblackcat - 193.169.40.39 - 1424 140 224
2012-12-15 05:34:24 /index.php - 193.169.40.39 - 1424 138 5
2012-12-15 05:34 :24 /admin/index.php - 193.169.40.39 - 1424 144 5
2012-12-15 05:34:24 /admin/pma/index.php - 193.169.40.39 - 1424 148 3
2012-12-15 05:34 :24 /admin/phpmyadmin/index.php - 193.169.40.39 - 1424 155 4...
奇怪的WP条目
2012-12-16 22:38:37 /wp-login.php - 167.206.74.237 - 1405 219 281
2012-12-16 22:38:37 /blog/wp-login.php - 167.206.74.237 - 1405 224 60
2012-12-16 22:38:37 /wordpress/wp-login.php - 167.206.74.237 - 1405 229 60
2012-12-16 22:38:37 /wp/wp-login.php - 167.206.74.237 - 1405 222 59
看起来猫正试图猜测WP和PhpMyAdmin的位置,如果它得到响应,我想下一步是检查它是否可以利用漏洞.
基本上,它像端口扫描一样工作.如果你没有安装WP和PhpMyAdmin,你应该没问题.
通常,这种扫描仪会扫描一次,如果没有找到对它们有用的东西,它们就会离开.
| 归档时间: |
|
| 查看次数: |
8287 次 |
| 最近记录: |