Seltsame POST-Anfragen an meinen Ubuntu-Server - bin ich in Schwierigkeiten?

11

Ich habe einen Ubuntu Server 12.04 auf einer VM installiert. Auf diesem Server sind apache2-mpm-preforkInstallieren Sie apache2-mpm-prefork und libapache2-mod-php5Installieren Sie libapache2-mod-php5 installiert. Ich habe die Protokolle durchgesehen und bin kürzlich auf diese ziemlich verdächtigen Einträge gestoßen:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Das Dekodieren des Inhalts nach php?...führt zu folgenden Ergebnissen:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Ist das etwas, worüber ich mir Sorgen machen sollte?

apache2 security php Nathan Osman
quelle

Antworten:

10

Ist wahrscheinlich ein alter Zero Day-Angriff auf das Parallels Plesk Panel. Wenn Sie es nicht ausführen, sollten Sie ziemlich sicher sein. Dies ist ein Zitat darüber, wie der Angriff von Computer World aus ausgeführt wird :

Ein vom Exploit ausgeführter Befehl enthält mehrere Argumente, mit denen Sicherheitsmechanismen deaktiviert werden sollen, die möglicherweise auf dem Server vorhanden sind. Dazu gehören das Argument "allow_url_include = on", mit dem der Angreifer beliebigen PHP-Code einschließen kann, und das Argument "safe_mode = off". „Als letzten Schritt wird Suhosin, ein PHP-Härtungspflaster, in den Simulationsmodus versetzt. Dieser Modus wurde für Anwendungstests entwickelt und schaltet den zusätzlichen Schutz effektiv aus. “

In der POST-Anfrage sehen wir die 3 Eckpunkte des Angriffs, bei denen es sich tatsächlich um die ersten 3 gesendeten Befehle handelt -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Der Rest kriecht nur mehr auf Ihrem Server.

Möglicherweise möchten Sie mehr über den CVE-2012-1823 erfahren , der dieses Problem behebt . Parallelen boten eine Problemumgehung, um ihre Benutzer / Kunden zu schützen. Dieses Problem wurde in allen Ubuntu-Versionen behoben. Nur alte, nicht gewartete Server sind in Gefahr. Wenn Sie eine Version verwenden, die gleich oder höher als 5.3.10-1ubuntu3.1 von php5-cgi ist, sind Sie außer Gefahr.

Braiam
quelle