Các yêu cầu POST lạ đến máy chủ Ubuntu của tôi - tôi có gặp rắc rối không?

Tôi đã cài đặt Ubuntu Server 12.04 trên máy ảo. Máy chủ này đã cài đặt apache2-mpm-prefork và libapache2-mod-php5 . Tôi đã xem qua nhật ký và gần đây đã bắt gặp những mục khá đáng ngờ này:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Giải mã nội dung sau khi có php?...kết quả như sau:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Đây có phải là điều tôi nên quan tâm?

Có lẽ là một cuộc tấn công Zero Day cũ nhắm vào Bảng điều khiển Parallels Plesk. Nếu bạn không chạy nó, bạn sẽ khá an toàn. Đây là một trích dẫn về cách thức tấn công từ Thế giới máy tính :

Một lệnh được thực thi bởi khai thác chứa một số đối số nhằm vô hiệu hóa các cơ chế bảo mật có thể tồn tại trên máy chủ, ông nói. Chúng bao gồm các đối số của allow allow_url_include = on, cho phép kẻ tấn công bao gồm mã PHP tùy ý và đối số của safe safe_mode = off. Đây là bước cuối cùng Suhosin, một bản vá cứng của PHP, được đưa vào chế độ mô phỏng. Chế độ này được thiết kế để thử nghiệm ứng dụng và tắt hiệu quả bảo vệ bổ sung.

Trong yêu cầu POST chúng ta có thể thấy 3 đỉnh của cuộc tấn công, thực tế là 3 lệnh đầu tiên được gửi -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Phần còn lại chỉ là thu thập dữ liệu nhiều hơn trong máy chủ của bạn.

Bạn có thể muốn biết thêm về CVE-2012-1823 giải quyết vấn đề này. Parallels cung cấp một cách giải quyết để bảo vệ người dùng / người tiêu dùng của họ. Sự cố này đã được khắc phục trong tất cả các phiên bản Ubuntu, chỉ những máy chủ cũ không rõ ràng mới gặp nguy hiểm. Nếu bạn đang sử dụng phiên bản bằng hoặc cao hơn 5.3.10-1ubfox3.1 của php5-cgi, bạn sẽ thoát khỏi nguy hiểm.