web-dev-qa-db-ja.com

奇妙なPOST Ubuntuサーバーへのリクエスト-困っていますか?

Ubuntu Server 12.04をVMにインストールしています。このサーバーには Apache2-mpm-preforkがあります Install Apache2-mpm-prefork および libapache2-mod-php5 Install libapache2-mod-php5 インストール済み。私はログを調べていましたが、最近これらのかなり疑わしいエントリに出会いました:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

php?...の後のコンテンツをデコードすると、次の結果になります。

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

これは私が心配すべきことですか?

11
Nathan Osman

おそらく、Parallels Plesk Panelを標的とした古いZero Day攻撃です。実行していない場合は、かなり安全である必要があります。 これは、Computer Worldからの攻撃方法に関する引用です

このエクスプロイトによって実行されるコマンドには、サーバー上に存在する可能性のあるセキュリティメカニズムを無効にすることを目的としたいくつかの引数が含まれています。これらには、攻撃者が任意のPHPコードと「safe_mode = off」引数を含めることを許可する「allow_url_include = on」引数が含まれます。「最後のステップとして、Suhosin、a PHP強化パッチ。シミュレーションモードになります。このモードはアプリケーションテスト用に設計されており、追加の保護を効果的にオフにします。

POSTリクエストでは、攻撃の3つの頂点を見ることができます。実際には、最初の3つのコマンドが-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on。残りはサーバーでさらにクロールするだけです。

この問題に対処する CVE-2012-182 について詳しく知りたい場合があります。 Parallelsは ユーザー/コストを保護するための回避策この問題はUbuntuのすべてのバージョンで修正されています 古いメンテナンスされていないサーバーのみが危険にさらされています。 php5-cgiの5.3.10-1ubuntu3.1以上のバージョンを使用している場合、危険はありません。

10
Braiam