我在虚拟机上安装了 Ubuntu Server 12.04。该服务器有apache2-mpm-prefork和libapache2-mod-php5
安装。我查看了日志,最近发现了这些相当可疑的条目:
xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...
解码后内容php?...结果如下:
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
disable_functions="" -d open_basedir=none -d
auto_prepend_file=php://input -d cgi.force_redirect=0 -d
cgi.redirect_status_env=0 -n
这是我应该担心的事情吗?
答案1
可能是针对 Parallels Plesk Panel 的旧版零日攻击。如果您没有运行它,您应该非常安全。这是来自《计算机世界》的一段关于如何进行攻击的引文:
他说,漏洞执行的命令包含几个参数,旨在禁用服务器上可能存在的安全机制。这些参数包括“allow_url_include=on”参数,允许攻击者包含任意 PHP 代码和“safe_mode=off”参数。“最后一步是将 PHP 强化补丁 Suhosin 置于模拟模式。此模式专为应用程序测试而设计,可有效关闭额外保护。”
在 POST 请求中,我们可以看到攻击的 3 个顶点,实际上是发送的前 3 个命令-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on。其余的只是在您的服务器中进行更多抓取。
您可能想了解有关CVE-2012-1823解决了这个问题。Parallels 提供了一个解决方法来保护他们的用户/客户。 此问题已在 Ubuntu 所有版本中得到修复,只有旧的、未维护的服务器处于危险之中。如果您正在使用 php5-cgi 5.3.10-1ubuntu3.1 或更高版本,则您没有危险。