Étranges requêtes POST à ​​mon serveur Ubuntu - suis-je en difficulté?

11

J'ai un serveur Ubuntu 12.04 installé sur une machine virtuelle. Ce serveur a installé apache2-mpm-preforkInstallez apache2-mpm-prefork et libapache2-mod-php5Installez libapache2-mod-php5 . Je regardais les journaux et je suis récemment tombé sur ces entrées plutôt suspectes:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Le décodage du contenu après php?...donne les résultats suivants:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Est-ce quelque chose qui devrait m'inquiéter?

apache2 security php Nathan Osman
la source

Réponses:

10

Est probablement une ancienne attaque Zero Day ciblant Parallels Plesk Panel. Si vous ne l'exécutez pas, vous devriez être assez en sécurité. Voici une citation sur la façon dont l'attaque est effectuée à partir de Computer World :

Une commande exécutée par l'exploit contient plusieurs arguments qui visent à désactiver les mécanismes de sécurité qui pourraient exister sur le serveur, a-t-il déclaré. Ceux-ci incluent l'argument "allow_url_include = on" qui permet à l'attaquant d'inclure du code PHP arbitraire et l'argument "safe_mode = off". «Comme dernière étape, Suhosin, un correctif de durcissement PHP, est mis en mode simulation. Ce mode est conçu pour les tests d'application et désactive efficacement la protection supplémentaire. »

Dans la requête POST, nous pouvons voir les 3 sommets de l'attaque, qui sont en fait les 3 premières commandes envoyées -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Le reste rampe simplement davantage sur votre serveur.

Vous voudrez peut-être en savoir plus sur le CVE-2012-1823 qui résout ce problème. Parallels a fourni une solution de contournement pour protéger leurs utilisateurs / clients. Ce problème a été corrigé dans toutes les versions d'Ubuntu, seuls les anciens serveurs non entretenus sont en danger. Si vous utilisez une version égale ou supérieure à 5.3.10-1ubuntu3.1 de php5-cgi, vous êtes hors de danger.

Braiam
la source