Странные POST-запросы к моему серверу Ubuntu - у меня проблемы?

11

У меня Ubuntu Server 12.04 установлен на виртуальной машине. На этом сервере установлены apache2-mpm-preforkУстановите apache2-mpm-prefork и libapache2-mod-php5Установите libapache2-mod-php5 . Я просматривал журналы и недавно наткнулся на эти довольно подозрительные записи:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Декодирование содержимого после php?...результатов в следующем:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Меня это должно беспокоить?

Натан Осман
источник

Ответы:

10

Вероятно, это старая атака Zero Day, нацеленная на Parallels Plesk Panel. Если вы не запускаете его, вы должны быть в безопасности. Это цитата о том, как осуществляется атака из компьютерного мира :

Команда, выполняемая эксплойтом, содержит несколько аргументов, предназначенных для отключения механизмов безопасности, которые могут существовать на сервере, сказал он. К ним относятся аргумент «allow_url_include = on», который позволяет злоумышленнику включить произвольный код PHP, и аргумент «safe_mode = off». «В качестве последнего шага Suhosin, исправляющий PHP-патч, переведен в режим симуляции. Этот режим предназначен для тестирования приложений и эффективно отключает дополнительную защиту ».

В запросе POST мы видим 3 вершины атаки, которые фактически являются первыми 3 отправленными командами -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Остальное просто ползет больше на вашем сервере.

Возможно, вы захотите узнать больше о CVE-2012-1823, который решает эту проблему. Parallels предоставила обходной путь для защиты своих пользователей / клиентов. Эта проблема была исправлена ​​во всех версиях Ubuntu, только старые не обслуживаемые серверы находятся в опасности. Если вы используете версию, равную или выше, чем 5.3.10-1ubuntu3.1 из php5-cgi, вы вне опасности.

Braiam
источник