In den Protokolldateien meiner Nginx- und Apache-Server wird mir ständig Folgendes als 400-Fehler angezeigt:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx sind verschiedene IPs. Sieht das aus, als ob ein Hacker versucht, ein Loch in den Server zu finden? Wir haben IP-Sperrfunktionen, aber ich möchte das nicht tun, wenn es echt ist.
Der vollständige Protokolldateieintrag lautet:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
Antwort1
Ja, sie versuchen es. Und scheitern.
Sie können anhand des Rückgabecodes erkennen, dass ein Fehler auftritt. Das 400 - bad requestbedeutet, dass Ihr Server im Grunde sagt: „Das werde ich Ihnen auf keinen Fall erlauben.“ Was in diesem Zusammenhang eine gute Sache ist.
Antwort2
Ich habe großen Respekt vor Jennys Antwort, aber ich dachte, ich muss Folgendes hinzufügen:
Es ist ein Versuch, eineNeuroseAngriff (mit herzlichem Dank an Iain für den Hinweis). Vorausgesetzt, Sie haben Ihren Server gegen diese Schwachstelle gepatcht, gibt der Webserver eine zurück 400, die ihnMikrosekundender CPU und denkt nicht weiter über die Angelegenheit nach.
Aber Sie schreiben, dass Sie „Blockieren Sie sie, sobald sie auftauchen (da es keinen Sinn hat, Ressourcen für sie zu verschwenden!)". Darf ich darauf hinweisen, dass Sie eineTonnean Ressourcen darauf verwendet - nämlich Ihre Zeit?
Der Versuch, mit dem Exploit Maulwurf zu schlagendes Tagesauf jeder Anwendung auf Ihrem System istnichteine gute Nutzung Ihrer Zeit! Das Richtige ist, sie zu ignorieren, sie protokollieren zu lassen und sie bei der Nachbearbeitung auszusortieren, nachdem Sie festgestellt haben, dass Sie nicht anfällig dafür sind. Die beste Nutzung Ihrer Zeit ist, Ihre Patches gnadenlos auf dem neuesten Stand zu halten!