Extrañas solicitudes POST a mi servidor Ubuntu: ¿estoy en problemas?

11

Tengo un Ubuntu Server 12.04 instalado en una VM. Este servidor tiene instalados apache2-mpm-preforkInstalar apache2-mpm-prefork y libapache2-mod-php5Instalar libapache2-mod-php5 . Estaba mirando los registros y recientemente encontré estas entradas bastante sospechosas:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Decodificar el contenido después de los php?...resultados en lo siguiente:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

¿Es algo por lo que debería preocuparme?

Nathan Osman
fuente

Respuestas:

10

Es probablemente un viejo ataque de Día Cero dirigido a Parallels Plesk Panel. Si no lo está ejecutando, debería estar bastante seguro. Esta es una cita sobre cómo se realiza el ataque desde Computer World :

Un comando ejecutado por el exploit contiene varios argumentos que están destinados a deshabilitar los mecanismos de seguridad que puedan existir en el servidor, dijo. Estos incluyen el argumento "allow_url_include = on" que permite al atacante incluir código PHP arbitrario y el argumento "safe_mode = off". “Como paso final, Suhosin, un parche de refuerzo de PHP, se pone en modo de simulación. Este modo está diseñado para pruebas de aplicaciones y desactiva efectivamente la protección adicional ".

En la solicitud POST podemos ver los 3 vértices del ataque, que de hecho son los primeros 3 comandos enviados -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. El resto es solo rastrear más en su servidor.

Es posible que desee saber más sobre el CVE-2012-1823 que aborda este problema. Parallels proporcionó una solución alternativa para proteger a sus usuarios / clientes. Este problema se ha solucionado en todas las versiones de Ubuntu, solo los viejos servidores sin mantenimiento están en peligro. Si está utilizando una versión igual o superior a 5.3.10-1ubuntu3.1 de php5-cgi, está fuera de peligro.

Braiam
fuente