Solicitações estranhas de POST para meu servidor Ubuntu - estou com problemas?

11

Eu tenho um Ubuntu Server 12.04 instalado em uma VM. Este servidor possui o apache2-mpm-preforkInstale o apache2-mpm-prefork e o libapache2-mod-php5Instale libapache2-mod-php5 instalados. Eu estava olhando os logs e recentemente me deparei com essas entradas bastante suspeitas:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

A decodificação do conteúdo após os php?...resultados é o seguinte:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

É com isso que eu deveria me preocupar?

apache2 security php Nathan Osman
fonte

Respostas:

10

Provavelmente é um ataque antigo do Zero Day que visa o Parallels Plesk Panel. Se você não estiver executando, você deve estar bem seguro. Esta é uma citação sobre como o ataque é realizado no Computer World :

Um comando executado pela exploração contém vários argumentos que visam desativar os mecanismos de segurança que possam existir no servidor, disse ele. Isso inclui o argumento "allow_url_include = on", que permite ao invasor incluir código PHP arbitrário e o argumento "safe_mode = off". “Como etapa final, o Suhosin, um patch de proteção do PHP, é colocado no modo de simulação. Este modo foi projetado para testes de aplicativos e desativa efetivamente a proteção extra. ”

Na solicitação POST, podemos ver os 3 vértices do ataque, que são os três primeiros comandos enviados -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. O resto está apenas rastreando mais no seu servidor.

Convém saber mais sobre o CVE-2012-1823 que aborda esse problema. A Parallels forneceu uma solução alternativa para proteger seus usuários / clientes. Esse problema foi corrigido em todas as versões do Ubuntu, apenas servidores antigos e não mantidos estão em perigo. Se você está usando uma versão igual ou superior a 5.3.10-1ubuntu3.1 do php5-cgi, você está fora de perigo.

Braiam
fonte