web-dev-qa-db-fra.com

Étranges POST demandes adressées à mon serveur Ubuntu - suis-je en difficulté?

J'ai un serveur Ubuntu 12.04 installé sur une machine virtuelle. Ce serveur a Apache2-mpm-prefork Install Apache2-mpm-prefork et libapache2-mod-php5 Install libapache2-mod-php5 installé. Je parcourais les journaux et suis récemment tombé sur ces entrées plutôt suspectes:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Le décodage du contenu après php?... a pour résultat:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Est-ce quelque chose qui devrait me préoccuper?

11
Nathan Osman

C’est probablement une vieille attaque Zero Day visant Parallels Plesk Panel. Si vous ne l'exécutez pas, vous devriez être assez en sécurité. Ceci est une citation sur la façon dont l'attaque est faite depuis Computer World :

Une commande exécutée par l'exploit contient plusieurs arguments destinés à désactiver les mécanismes de sécurité pouvant exister sur le serveur, a-t-il déclaré. Ceux-ci incluent l'argument “allow_url_include = on” qui permet à l'attaquant d'inclure du code PHP arbitraire et l'argument “safe_mode = off”. “Enfin, Suhosin, un correctif de durcissement PHP, est mis en mode simulation. Ce mode est conçu pour tester les applications et désactive efficacement la protection supplémentaire. ”

Dans la requête POST, nous pouvons voir les 3 sommets de l'attaque, qui sont en fait les 3 premières commandes envoyées -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Le reste n’explore plus que votre serveur.

Vous voudrez peut-être en savoir plus sur le CVE-2012-182 qui résout ce problème. Parallels a fourni un solution de contournement pour protéger ses utilisateurs/clients.Ce problème a été résolu dans toutes les versions d'Ubuntu, seuls les anciens serveurs non maintenus sont en danger. Si vous utilisez une version égale ou supérieure à 5.3.10-1ubuntu3.1 de php5-cgi, vous êtes hors de danger.

10
Braiam