Dziwne żądania POST do mojego serwera Ubuntu - czy mam kłopoty?

11

Mam Ubuntu Server 12.04 zainstalowany na maszynie wirtualnej. Na tym serwerze zainstalowano apache2-mpm-preforkZainstaluj apache2-mpm-prefork i libapache2-mod-php5Zainstaluj libapache2-mod-php5 . Przeglądałem dzienniki i ostatnio natknąłem się na te dość podejrzane wpisy:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Dekodowanie zawartości po php?...powoduje:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Czy powinienem się tym martwić?

apache2 security php Nathan Osman
źródło

Odpowiedzi:

10

To prawdopodobnie stary atak Zero Day wymierzony w Parallels Plesk Panel. Jeśli go nie uruchamiasz, powinieneś być całkiem bezpieczny. Oto cytat o tym, jak przeprowadzany jest atak ze Świata Komputerowego :

Powiedział, że polecenie wykonane przez exploita zawiera kilka argumentów, które mają na celu wyłączenie mechanizmów bezpieczeństwa, które mogą istnieć na serwerze. Należą do nich argument „allow_url_include = on”, który pozwala atakującemu na dołączenie dowolnego kodu PHP oraz argument „safe_mode = off”. „Na ostatnim etapie Suhosin, łatka do hartowania PHP, zostaje wprowadzona w tryb symulacji. Ten tryb jest przeznaczony do testowania aplikacji i skutecznie wyłącza dodatkową ochronę. ”

W żądaniu POST możemy zobaczyć 3 wierzchołki ataku, które w rzeczywistości są pierwszymi 3 wysłanymi poleceniami -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Reszta po prostu indeksuje więcej na serwerze.

Możesz dowiedzieć się więcej o CVE-2012-1823, które rozwiązują ten problem. Parallels zapewniło obejście w celu ochrony swoich użytkowników / klientów. Ten problem został rozwiązany we wszystkich wersjach Ubuntu, zagrożone są tylko stare, nieobsługiwane serwery. Jeśli używasz wersji równej lub wyższej niż 5.3.10-1ubuntu3.1 php5-cgi, nie jesteś zagrożony.

Braiam
źródło