Ubuntu sunucuma garip POST istekleri - başım belada mı?

Bir VM'de kurulu bir Ubuntu Server 12.04 var. Bu sunucuda apache2-mpm-prefork ve libapache2-mod-php5 kurulu. Günlükleri inceliyordum ve son zamanlarda bu şüpheli girişlerle karşılaştım:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

php?...Aşağıdaki sonuçlardan sonra içeriğin kodunun çözülmesi :

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Bu endişe etmem gereken bir şey mi?

Muhtemelen Parallels Plesk Panel'i hedef alan eski bir Sıfır Gün saldırısıdır. Eğer çalıştırmıyorsanız, oldukça güvenli olmalısınız. Bu, saldırının Computer World'den nasıl yapıldığıyla ilgili bir alıntıdır :

İstismar tarafından yürütülen bir komutun, sunucuda bulunabilecek güvenlik mekanizmalarını devre dışı bırakmayı amaçlayan çeşitli argümanlar içerdiğini söyledi. Bunlar, saldırganın rastgele PHP kodu ve “safe_mode = off” argümanını eklemesine izin veren “allow_url_include = on” argümanını içerir. “Son adım olarak PHP sertleştirme düzeltme eki Suhosin, simülasyon moduna geçiyor. Bu mod uygulama testi için tasarlanmıştır ve ekstra korumayı etkili bir şekilde kapatır. ”

POST isteğinde, aslında gönderilen ilk 3 komut olan saldırının 3 köşesini görebiliriz -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Gerisi sunucunuzda daha fazlasını tarıyor.

Bu sorunu ele alan CVE-2012-1823 hakkında daha fazla bilgi edinmek isteyebilirsiniz . Parallels , kullanıcılarını / müşterilerini korumak için bir geçici çözüm sağladı. Bu sorun, Ubuntu'nun tüm sürümlerinde düzeltildi, yalnızca eski bakımı yapılmayan sunucular tehlikede. Php5-cgi'nin 5.3.10-1ubuntu3.1 sürümüne eşit veya daha üstün bir sürüm kullanıyorsanız, tehlikeniz yoktur.