В файлах журналов серверов nginx и Apache постоянно появляется следующее сообщение с кодом 400:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx — это разные IP. Похоже ли это на хакера, пытающегося найти дыру в сервере? У нас есть средства блокировки IP, но я не хочу этого делать, если он настоящий.
Полная запись в файле журнала выглядит так:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
решение1
Да, они пытаются. И терпят неудачу.
Вы можете определить, что они терпят неудачу, посмотрев на код возврата — 400 - bad requestэто означает, что ваш сервер, по сути, говорит: «Ни за что я не позволю вам этого сделать». Что, в данном контексте, является хорошим знаком.
решение2
Я с большим уважением отношусь к ответу Дженни, но я посчитал нужным добавить следующее:
Это попытка сделатьконтузияатака (с благодарностью Иэну за указание на это). При условии, что вы исправили эту уязвимость на своем сервере, веб-сервер возвращает 400, который принимает егомикросекундыCPU и больше не думает по этому поводу.
Но вы пишете, что вы "блокируя их сразу же, как только они появляются (так как нет смысла тратить на них ресурсы!)". Могу ли я указать, что вы тратите впустуютоннаресурсов на них - а именно, вашего времени?
Попытка сыграть в игру «Бей крота» с эксплойтомdu jourна каждое приложение в вашей системенетхорошее использование вашего времени! Правильным решением будет - установив, что вы не уязвимы для них - игнорировать их, позволить им быть зарегистрированными и отсеять их при постобработке. Лучшее использование вашего времени - безжалостно следить за своими патчами!