โพสต์คำขอแปลก ๆ ไปยังเซิร์ฟเวอร์ Ubuntu ของฉัน - ฉันมีปัญหาหรือไม่

ฉันมี Ubuntu Server 12.04 ติดตั้งอยู่บน VM เซิร์ฟเวอร์นี้ติดตั้งapache2-mpm-preforkและlibapache2-mod-php5 ฉันกำลังดูบันทึกและเพิ่งเจอรายการที่น่าสงสัยเหล่านี้:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

การถอดรหัสเนื้อหาหลังจากphp?...ผลลัพธ์ดังต่อไปนี้:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

นี่คือสิ่งที่ฉันควรจะกังวลหรือไม่?

อาจเป็นการโจมตี Zero Zero อันเก่าแก่ที่กำหนดเป้าหมายไว้ที่ Parallels Plesk Panel หากคุณไม่ได้ใช้งานคุณควรจะปลอดภัย นี่เป็นคำพูดเกี่ยวกับวิธีการโจมตีจาก Computer World :

คำสั่งที่ดำเนินการโดยช่องโหว่นั้นมีหลายอาร์กิวเมนต์ที่มีจุดประสงค์เพื่อปิดการใช้งานกลไกความปลอดภัยที่อาจมีอยู่บนเซิร์ฟเวอร์เขากล่าว สิ่งเหล่านี้รวมถึงอาร์กิวเมนต์“ allow_url_include = on” ซึ่งทำให้ผู้โจมตีสามารถรวมรหัส PHP โดยพลการและอาร์กิวเมนต์“ safe_mode = off” “ ในขั้นตอนสุดท้าย Suhosin ซึ่งเป็นแพทช์ชุบแข็ง PHP นั้นจะถูกนำเข้าสู่โหมดการจำลอง โหมดนี้ออกแบบมาสำหรับการทดสอบแอปพลิเคชันและปิดการป้องกันพิเศษอย่างมีประสิทธิภาพ”

ในคำขอ POST เราสามารถมองเห็น 3 จุดของการโจมตีซึ่งในความเป็นจริงคำสั่งแรก 3 -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=onส่ง ส่วนที่เหลือกำลังรวบรวมข้อมูลเพิ่มเติมในเซิร์ฟเวอร์ของคุณ

คุณอาจต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับCVE-2012-1823ที่แก้ไขปัญหานี้ Parallels ให้วิธีแก้ปัญหาเพื่อปกป้องผู้ใช้ / ลูกค้า ปัญหานี้ได้รับการแก้ไขในอูบุนตูทุกรุ่นมี แต่เซิร์ฟเวอร์เก่าที่ไม่มีการระบายเท่านั้นที่ตกอยู่ในอันตราย ถ้าคุณใช้เวอร์ชั่นเท่ากันหรือดีกว่า 5.3.10-1ubuntu3.1 ของ php5-cgi แสดงว่าคุณตกอยู่ในอันตราย