É óbvio que eles tentam explorar o bug recente encontrado no PHP quando configurado como CGI ( CVE-2012-1823 )
O que eles estão tentando alcançar no final, só podemos adivinhar até ouvirmos pessoas que realmente se comprometeram e analisaram o servidor depois.
Pelo que parece no momento, está sendo tentado executar o shell C99 nesses servidores. Não podemos vincular isso ao recrutamento de botnets ou a qualquer outra finalidade ainda.
Como administrador, você deve verificar se não está vulnerável a esse ataque.
O que neste caso é verificar se você tem PHP > = 5.3.12 implementado.
Você pode tentar contatar a equipe de abuso do proprietário do IP do qual o ataque está originando e o IP no qual o info3.txt está sendo hospedado. Mas esse provedor provavelmente não ficará muito impressionado com sua reivindicação.
Notificar pessoas de segurança?
Não, eu não tentaria explorar um bug conhecido.
Achei útil assinar a segurança e / ou anunciar a lista de discussão do software que estou expondo à Internet e ao nosso sistema operacional básico.
Dessa forma, estou sendo notificado rapidamente sobre problemas de segurança e novos lançamentos que realmente me preocupam.