Continuo vendo o seguinte aparecendo em meus arquivos de log do servidor nginx e Apache como 400:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx são IPs diferentes. Isso parece um hacker tentando encontrar uma brecha no servidor? Temos recursos de bloqueio de IP, mas não quero fazer isso se for genuíno.
A entrada completa do arquivo de log é:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
Responder1
Sim, eles estão tentando. E falhando.
Você pode dizer que eles estão falhando olhando o código de retorno - 400 - bad requestsignifica que seu servidor está basicamente dizendo "De jeito nenhum vou deixar você fazer isso". O que, neste contexto, é uma coisa boa.
Responder2
Tenho muito respeito pela resposta de Jenny, mas achei que deveria acrescentar o seguinte:
É uma tentativa de fazertrauma pós guerraataque (com agradecimentos a Iain por apontar isso). Desde que você tenha corrigido seu servidor contra esta vulnerabilidade, o servidor web retornará um 400, que levamicrossegundosda CPU, e não pensa mais sobre o assunto.
Mas você escreve que você é "bloqueá-los assim que aparecerem (não adianta desperdiçar recursos com eles!)". Posso salientar que você está desperdiçando umtoneladade recursos sobre eles - a saber, o seu tempo?
Tentando brincar de bater na toupeira com a exploraçãodo diaem todos os aplicativos do seu sistema énãoum bom uso do seu tempo! A coisa certa a fazer é - tendo estabelecido que você não está vulnerável a eles - ignorá-los, deixá-los ser registrados e excluí-los no pós-processamento. O melhor uso do seu tempo é acompanhar implacavelmente seus patches!