我发现了一个可能的 Shellshock 攻击目标tmUnblock.cgi，我正在努力理解它。

在 Shellshock 漏洞成为新闻和服务器被修补之间的时间段内，我正在通过 Apache 访问日志检查小型网络服务器，寻找可疑条目。

它的流量很低，因此我实际上可以通读整个访问日志并发现异常条目。这些主要是“白帽”扫描，例如Errata Security 的“Internet Shellshock 扫描”，通过存在于用户代理中，Shellshock 尝试在日志条目中可见。

但是，其中一个看起来可能是更严重的攻击尝试：

72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"

我的日志中大约有 4 个，都来自不同的 IP，都来自 Shellshock 公开之后。他们的 IP 都来自奇怪的、不相关的来源，对于机器人来说似乎是合理的。

第一个似乎是扫描（测试漏洞？），然后尝试针对 cgi 脚本。与 Erratta Security 扫描之类的白帽内容不同，用户代理中并没有泄露其目的（我的理解是，“严重”的 Shellshock 攻击将使用未记录的标头）。

我从来没有听说过tmUnblock.cgi它似乎不存在于我的服务器上，所以我主要是出于好奇而询问（我希望！）。什么是tmUnblock.cgi以及是否可以作为炮击攻击的目标？

我自己研究 tmUnblock.cgi 的尝试以混乱告终。它似乎与 2014 年 2 月发现的 Linksys 路由器中的一个可利用漏洞有关，该漏洞似乎与执行 shell 命令有关，过去似乎曾被用于传播蠕虫，但我能找到的仅此而已。