Sigo viendo lo siguiente en los archivos de registro de mi servidor nginx y Apache como 400:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx son IP diferentes. ¿Parece esto un hacker intentando encontrar un agujero en el servidor? Tenemos funciones de bloqueo de IP, pero no quiero hacerlo si es genuino.
La entrada completa del archivo de registro es:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
Respuesta1
Sí, lo están intentando. Y fallando.
Puedes darte cuenta de que están fallando al mirar el código de retorno; 400 - bad requestsignifica que tu servidor básicamente dice "De ninguna manera te dejaré hacer eso". Lo cual, en este contexto, es algo bueno.
Respuesta2
Respeto mucho la respuesta de Jenny, pero pensé que tenía que agregar esto:
Es un intento de hacer unneurosis de guerraataque (con agradecimiento a Iain por señalar esto). Siempre que haya parcheado su servidor contra esta vulnerabilidad, el servidor web devuelve un archivo 400, que lo tomamicrosegundosde CPU y no piensa más en el asunto.
Pero escribes que eres "bloqueándolos tan pronto como aparecen (¡ya que no tiene sentido desperdiciar recursos en ellos!)". ¿Puedo señalar que estás desperdiciando unatoneladade recursos sobre ellos - es decir, ¿su tiempo?
Intentando jugar al "golpe al topo" con el exploitdel díaen cada aplicación de su sistema esno¡un buen uso de tu tiempo! Lo correcto es (una vez establecido que no eres vulnerable a ellos) ignorarlos, dejar que se registren y descartarlos en el posprocesamiento. ¡El mejor uso de tu tiempo es mantenerte al día sin piedad con tus parches!