मेरे Ubuntu सर्वर के लिए अजीब पोस्ट अनुरोध - क्या मैं मुसीबत में हूँ?


11

मेरे पास एक उबंटू सर्वर 12.04 एक वीएम पर स्थापित है। इस सर्वर में apache2-mpm-preforkApache2-mpm-prefork स्थापित करें और libapache2-mod-php5Libapache2-mod-php5 स्थापित करें स्थापित है। मैं लॉग के माध्यम से देख रहा था और हाल ही में इन संदिग्ध प्रविष्टियों में आया था:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

php?...निम्नलिखित में परिणाम के बाद सामग्री को डिकोड करना :

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

क्या यह कुछ ऐसा है जिसके बारे में मुझे चिंता करनी चाहिए?

जवाबों:


10

शायद एक पुराना जीरो डे अटैक है जो पैरेल्लस प्लिस्कोप पैनल को निशाना बनाता है। यदि आप इसे नहीं चला रहे हैं, तो आपको बहुत सुरक्षित होना चाहिए। यह कंप्यूटर वर्ल्ड से हमला कैसे किया जाता है, इसके बारे में एक उद्धरण है :

उन्होंने कहा कि शोषण द्वारा निष्पादित एक आदेश में कई तर्क हैं जो सुरक्षा तंत्र को निष्क्रिय करने के लिए हैं जो सर्वर पर मौजूद हो सकते हैं, उन्होंने कहा। इनमें "allow_url_include = on" तर्क शामिल है जो हमलावर को मनमाने ढंग से PHP कोड और "safe_mode = off" तर्क शामिल करने की अनुमति देता है। “एक अंतिम कदम के रूप में, एक सख्त सख्त पैच सुहोसिन, सिमुलेशन मोड में डाल दिया जाता है। यह मोड एप्लिकेशन परीक्षण के लिए डिज़ाइन किया गया है, और अतिरिक्त सुरक्षा को प्रभावी रूप से बंद कर देता है। "

POST अनुरोध में हम हमले के 3 कोने देख सकते हैं, जो वास्तव में पहले भेजे गए 3 कमांड हैं -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on। बाकी बस आपके सर्वर में अधिक रेंग रहा है।

आप CVE-2012-1823 के बारे में अधिक जानना चाह सकते हैं जो इस मुद्दे को संबोधित करता है। समानताएं अपने उपयोगकर्ताओं / कॉस्ट्यूमर्स की सुरक्षा के लिए वर्कअराउंड प्रदान करती हैं यह समस्या उबंटू के सभी संस्करणों में तय की गई है, केवल पुराने अप्राप्य सर्वर खतरे में हैं। यदि आप php5-cgi के 5.3.10-1ubuntu3.1 से बराबर या बेहतर संस्करण का उपयोग कर रहे हैं, तो आप खतरे से बाहर हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.