对我的Ubuntu服务器的奇怪POST请求-我有麻烦吗?

11

我在VM上安装了Ubuntu Server 12.04。此服务器已安装apache2-mpm-prefork安装apache2-mpm-preforklibapache2-mod-php5安装libapache2-mod-php5。我正在查看日志,最近发现了这些相当可疑的条目:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

之后解码内容将php?...导致以下结果:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

这是我应该关注的事情吗?

apache2  security  php 
内森·奥斯曼(Nathan Osman)
source

Answers:

10

可能是针对Parallels Plesk Panel的老式“零日攻击”。如果您没有运行它,那应该很安全。这是一则有关计算机世界如何进行攻击的报价

他说,利用漏洞执行的命令包含多个参数,这些参数旨在禁用服务器上可能存在的安全机制。其中包括“ allow_url_include = on”参数和“ safe_mode = off”参数,该参数允许攻击者添加任意PHP代码。作为最后一步,Suhosin(PHP强化补丁)进入了仿真模式。此模式专为应用程序测试而设计,可有效关闭额外的保护。”

在POST请求中,我们可以看到攻击的3个顶点,实际上是发送的前3个命令-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on。其余的只是在您的服务器中进行更多爬网。

您可能想了解有关解决此问题的CVE-2012-1823的更多信息。Parallels提供了一种解决方法来保护其用户/服装使用者。 此问题已在所有版本的Ubuntu中修复,只有旧的未维护的服务器才有危险。如果您使用等于或高于php5-cgi的5.3.10-1ubuntu3.1的版本,则没有危险。

布里亚姆
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.