내 Ubuntu 서버에 대한 이상한 POST 요청-문제가 있습니까?

VM에 Ubuntu Server 12.04가 설치되어 있습니다. 이 서버에는 apache2-mpm-prefork 및 libapache2-mod-php5가 설치되어 있습니다. 나는 통나무를 살펴보고 최근에 의심스러운 항목을 발견했습니다.

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

이후 내용을 디코딩하면 php?...다음과 같은 결과가 발생합니다.

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

이것이 내가 염려해야 할 것입니까?

Parallels Plesk Panel을 대상으로하는 오래된 Zero Day 공격 일 것입니다. 당신이 그것을 실행하지 않으면, 당신은 꽤 안전해야합니다. 이것은 Computer World에서 공격이 수행되는 방식에 대한 인용문입니다 .

이 익스플로잇에 의해 실행되는 명령에는 서버에 존재할 수있는 보안 메커니즘을 비활성화하기위한 몇 가지 인수가 포함되어 있다고 그는 말했다. 여기에는 공격자가 임의의 PHP 코드와 "safe_mode = off"인수를 포함 할 수있는 "allow_url_include = on"인수가 포함됩니다. “PHP 강화 패치 인 Suhosin은 최종 단계로 시뮬레이션 모드에 들어갑니다. 이 모드는 응용 프로그램 테스트를 위해 설계되었으며 추가 보호 기능을 효과적으로 끕니다. "

POST 요청에서 공격의 3 개의 정점을 볼 수 있습니다. 실제로 3 개의 명령이 전송 -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on됩니다. 나머지는 서버에서 더 많이 크롤링합니다.

이 문제를 해결 하는 CVE-2012-1823 에 대해 자세히 알고 싶을 수도 있습니다 . Parallels 는 사용자 / 비용을 보호하기 위한 해결 방법을 제공했습니다 . 이 문제는 모든 버전의 Ubuntu에서 수정되었으며 유지 관리되지 않은 오래된 서버 만 위험합니다. php5-cgi의 5.3.10-1ubuntu3.1 이상의 버전을 사용하는 경우 위험하지 않습니다.