Permintaan POST aneh ke server Ubuntu saya - apakah saya dalam masalah?

11

Saya memiliki Ubuntu Server 12.04 yang diinstal pada VM. Server ini memiliki apache2-mpm-preforkInstal apache2-mpm-prefork dan libapache2-mod-php5Instal libapache2-mod-php5 diinstal. Saya melihat-lihat log dan baru-baru ini menemukan entri yang agak mencurigakan ini:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Decoding konten setelah php?...hasil sebagai berikut:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Apakah ini sesuatu yang harus saya perhatikan?

Nathan Osman
sumber

Jawaban:

10

Mungkin serangan Zero Day lama yang menargetkan Parallels Plesk Panel. Jika Anda tidak menjalankannya, Anda harusnya cukup aman. Ini adalah kutipan tentang bagaimana serangan itu dilakukan dari Dunia Komputer :

Perintah yang dijalankan oleh exploit berisi beberapa argumen yang dimaksudkan untuk menonaktifkan mekanisme keamanan yang mungkin ada di server, katanya. Ini termasuk argumen “allow_url_include = on” yang memungkinkan penyerang menyertakan kode PHP sewenang-wenang dan argumen “safe_mode = off”. “Sebagai langkah terakhir Suhosin, tambalan pengerasan PHP, dimasukkan ke mode simulasi. Mode ini dirancang untuk pengujian aplikasi, dan secara efektif mematikan perlindungan ekstra. "

Dalam permintaan POST kita bisa melihat 3 simpul serangan, yang sebenarnya adalah 3 perintah pertama yang dikirim -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Sisanya hanya merangkak lebih banyak di server Anda.

Anda mungkin ingin tahu lebih banyak tentang CVE-2012-1823 yang membahas masalah ini. Parallels memberikan solusi untuk melindungi pengguna / pelanggan mereka. Masalah ini telah diperbaiki di semua versi Ubuntu, hanya server lama yang tidak dirawat yang dalam bahaya. Jika Anda menggunakan versi yang sama atau lebih tinggi dari 5.3.10-1ubuntu3.1 dari php5-cgi, Anda keluar dari bahaya.

Braiam
sumber