Solicitações estranhas de POST para meu servidor Ubuntu - estou com problemas?

11

Eu tenho um Ubuntu Server 12.04 instalado em uma VM. Este servidor tem apache2-mpm-prefork e libapache2-mod-php5 instalado. Eu estava olhando através dos logs e recentemente encontrei essas entradas suspeitas:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Decodificar o conteúdo depois de php?... resulta no seguinte:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Isso é algo que eu deveria estar preocupado?

    
por Nathan Osman 21.01.2014 / 01:46

1 resposta

10

É provavelmente um ataque antigo do Dia Zero ao Parallels Plesk Panel. Se você não estiver executando, você deve estar bem seguro. Esta é uma citação sobre como o ataque é feito pela Computer World :

  

Um comando executado pela exploração contém vários argumentos destinados a desabilitar mecanismos de segurança que possam existir no servidor, disse ele. Estes incluem o argumento “allow_url_include = on” que permite ao atacante incluir código PHP arbitrário e o argumento “safe_mode = off”. “Como uma etapa final, Suhosin, um patch de proteção do PHP, é colocado no modo de simulação. Este modo foi projetado para testes de aplicativos e efetivamente desativa a proteção extra. ”

Na solicitação POST, podemos ver os 3 vértices do ataque, que são os 3 primeiros comandos enviados -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on . O resto está apenas rastreando mais em seu servidor.

Você pode querer saber mais sobre o CVE-2012-1823 que aborda esse problema . A Parallels forneceu uma solução alternativa para proteger seus usuários / clientes. Este problema foi corrigido em todas as versões do Ubuntu, apenas servidores antigos não-mantidos estão em perigo. Se você está usando uma versão igual ou superior a 5.3.10-1ubuntu3.1 do php5-cgi, você está fora de perigo.

    
por Braiam 21.01.2014 / 02:00