Alguien, hoy, parece haber intentado atacar mi VPS. Revisé mis registros y vi esto:
54.251.83.67 - - [26 / Sep / 2014: 17: 07: 02 -0400] "GET / HTTP / 1.1" 200 1437 "-" "() {:;}; / bin / bash -c \ "echo testing9123123 \"; / bin / uname -a "
¿Soy vulnerable? Si no, ¿cómo podría saber si estaba? Actualicé a la última actualización anterior antes de que sucediera lo anterior e hice una prueba que regresó como un error.
No puedes saber desde esa entrada de registro si eres vulnerable o no. Si no eres vulnerable, puede tener una entrada correspondiente en el registro de errores de Apache con líneas similares a
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
Sin embargo, el mensaje de error solo aparecerá si la página web raíz de su sitio se puede usar como un vector de ataque. Si está sirviendo una página estática o una página dinámica que no invoca a Bash, no aparecerá ningún mensaje de error.
Básicamente, la mejor evidencia de que no eres vulnerable es que has actualizado antes del intento de investigación.
Lea otras preguntas en las etiquetas bash