É provavelmente um ataque antigo do Dia Zero ao Parallels Plesk Panel. Se você não estiver executando, você deve estar bem seguro. Esta é uma citação sobre como o ataque é feito pela Computer World :
Um comando executado pela exploração contém vários argumentos destinados a desabilitar mecanismos de segurança que possam existir no servidor, disse ele. Estes incluem o argumento “allow_url_include = on” que permite ao atacante incluir código PHP arbitrário e o argumento “safe_mode = off”. “Como uma etapa final, Suhosin, um patch de proteção do PHP, é colocado no modo de simulação. Este modo foi projetado para testes de aplicativos e efetivamente desativa a proteção extra. ”
Na solicitação POST, podemos ver os 3 vértices do ataque, que são os 3 primeiros comandos enviados -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on
. O resto está apenas rastreando mais em seu servidor.
Você pode querer saber mais sobre o CVE-2012-1823 que aborda esse problema . A Parallels forneceu uma solução alternativa para proteger seus usuários / clientes. Este problema foi corrigido em todas as versões do Ubuntu, apenas servidores antigos não-mantidos estão em perigo. Se você está usando uma versão igual ou superior a 5.3.10-1ubuntu3.1 do php5-cgi, você está fora de perigo.