Estou usando o amazon linux em uma instância m3.large no EC2. Eu tinha esses logs antes de meu servidor apache ser desligado:
[Sun Sep 28 18:54:31.679261 2014] [cgi:error] [pid 32422] [client 67.211.230.58:58937]
script not found or unable to stat: /var/www/cgi-bin/wlogin.cgi
[Mon Sep 29 03:32:17.602213 2014] [cgi:error] [pid 13612] [client 173.45.100.18:42591]
attempt to invoke directory as script: /var/www/cgi-bin/
[Mon Sep 29 03:32:19.142561 2014] [cgi:error] [pid 13623] [client 173.45.100.18:43455]
script not found or unable to stat: /var/www/cgi-bin/hi
[Mon Sep 29 15:40:45.599504 2014] [core:error] [pid 17852] [client 80.82.64.145:51226]
AH00126: Invalid URI in request GET HTTP/1.1
[Mon Sep 29 22:53:46.532859 2014] [mpm_prefork:notice] [pid 10800]
AH00169: caught SIGTERM, shutting down
E ... é isso. Meu serviço httpd foi encerrado.
O que eu estou sentindo aqui é que algumas pessoas estão tentando acessar o servidor executando scripts CGI com a requisição GET que eu suspeitava nesta linha:
script not found or unable to stat: /var/www/cgi-bin/hi
Aqui, o que diabos o "oi" deveria significar, a menos que não seja uma tentativa de exploração?
Além disso:
attempt to invoke directory as script: /var/www/cgi-bin/
Todos eles são provenientes do mesmo ip, 173.45.100.18.
Estou sob ataque DDoS e outros ataques maliciosos ou algo de estranho?