我不断看到 nginx 和 Apache 服务器日志文件中出现以下 400 错误:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx 是不同的 IP。这看起来像是黑客试图找到服务器漏洞吗?我们有 IP 阻止功能,但如果是真的,我不想这么做。
完整的日志文件条目是:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
答案1
是的,他们在尝试。但失败了。
您可以通过查看返回代码来判断它们是否失败 - 这400 - bad request意味着您的服务器基本上在说“我绝不会让您这样做”。在这种情况下,这是一件好事。
答案2
我非常尊重珍妮的回答,但我认为我必须补充一点:
这是一次尝试炮弹休克攻击(非常感谢 Iain 指出这一点)。如果您已经针对此漏洞修补了服务器,则 Web 服务器将返回一个400,这将接受它微秒CPU,并且不再考虑此事。
但你写道,你是“一出现就阻止他们(因为没有必要在他们身上浪费资源!)“。我可以指出你正在浪费吨投入多少资源——也就是你的时间?
尝试利用漏洞玩打地鼠游戏每日系统上的每个应用程序不是好好利用你的时间!正确的做法是 - 确定你不会受到它们的攻击 - 忽略它们,让它们被记录下来,并在后期处理中筛选掉它们。最好的利用时间的方式是坚持不懈地打补丁!