Sembra che stia tentando di sfruttare una qualche forma di iniezione di comandi. Come ha menzionato DarkMatter nella sua risposta, questo è stato probabilmente un ampio tentativo di trovare server vulnerabili, piuttosto che mirare specificamente a te. Il payload stesso sembra solo essere testato per vedere se il server è vulnerabile all'iniezione di comandi. Non sembra avere alcuno scopo aggiuntivo.

Per verificare se si potrebbe essere influenzati da questi specifici payload, il modo più semplice sarebbe inviarli al proprio server e vedere come rispondono. Nota che lo dico solo perché i payload stessi sono benigni; Non consiglio di farlo con tutti i payload.

La mia scommessa è che il tuo server non sia vulnerabile, perché mi sarei aspettato di vedere una richiesta di follow-up per sfruttare effettivamente il tuo server.

Probabilmente non è niente. Sembra l'ampio spam di uno scanner che cerca nel Web qualsiasi sito Web che valuti e restituisca tale sottrazione quando non dovrebbe. È una cosa abbastanza comune da vedere.

L'uso di nomi di funzioni effettivi (ad es. print ) suggerisce che stanno cercando siti Web che utilizzano eval in qualche modo (nota che potrebbe essere eval (string $ code) , JavaScript eval (string) e gli equivalenti di altri linguaggi di scripting).

Noto che il codice eseguibile appare immediatamente dopo il primo parametro version dopo Mozilla / . Ciò significa che gli autori di questo attacco credono che un numero sufficiente di siti web in circolazione stia effettivamente utilizzando eval come un modo (orribile) di analizzare una versione a due componenti ( major.minor ) number.

Quindi immagino che i siti Web vulnerabili stessero facendo qualcosa come questo (pseudo-codice):

  var userAgent = request.headers [" User-Agent "]; var indexOfVersion = userAgent.indexof ('/'); var indexOfVersionEnd = userAgent.indexof (indexOfVersion, ''); var versionText = userAgent.substring (indexOfVersion + 1, indexOfVersionEnd); var versionNumber = eval versionText); // < ------- questa è la vulnerabilità!  

sembra che stiano cercando di iniettare codice PHP nei file di registro. L'idea è che se l'amministratore di sistema utilizza un'app PHP per analizzare i log, alcuni potrebbero visualizzare il file di log come attendibile (dopotutto, l'utente normalmente non può alterare direttamente il file di log) e quindi rinunciare a qualsiasi processo di sanificazione.

Se stai guardando i tuoi file di log tramite un desktop o un editor di testo CLI, non sarai mai vulnerabile a questo attacco. Se utilizzi un'app PHP, assicurati che tratti i log come non attendibili e disinfettali proprio come faresti con un normale campo di input dell'utente.

Questo è semplice; stanno provando l'iniezione di comandi PHP. Il processo consiste nel sostituire un'intestazione (in questo caso il campo del programma utente) con un'espressione matematica, quindi determinare se il codice viene eseguito vista il valore restituito. Se il codice viene eseguito, il valore restituito sarà il risultato dell'espressione, piuttosto che l'espressione originale. Noterai l'uso leggermente spam di parentesi aperte e chiuse, punti e virgola e altri caratteri spesso usati per ingannare le lingue interpretate nell'interpretare i dati come codice eseguibile. Niente di cui preoccuparsi, le scansioni automatiche delle vulnerabilità come questa sono la norma al giorno d'oggi.