Nat*_*man 11 php security apache2
我在 VM 上安装了 Ubuntu Server 12.04。该服务器有apache2-mpm-prefork和libapache2-mod-php5
安装。我正在查看日志,最近遇到了这些相当可疑的条目:
xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...
Run Code Online (Sandbox Code Playgroud)
解码内容后php?...结果如下:
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
disable_functions="" -d open_basedir=none -d
auto_prepend_file=php://input -d cgi.force_redirect=0 -d
cgi.redirect_status_env=0 -n
Run Code Online (Sandbox Code Playgroud)
这是我应该关心的事情吗?
Bra*_*iam 10
可能是针对 Parallels Plesk Panel 的旧零日攻击。如果你不运行它,你应该很安全。这是来自 Computer World 的关于如何进行攻击的引用:
他说,利用漏洞执行的命令包含几个参数,旨在禁用服务器上可能存在的安全机制。其中包括允许攻击者包含任意 PHP 代码的“allow_url_include=on”参数和“safe_mode=off”参数。“作为最后一步,将 PHP 加固补丁 Suhosin 置于模拟模式。此模式专为应用程序测试而设计,可有效关闭额外保护。”
在 POST 请求中我们可以看到攻击的 3 个顶点,这实际上是发送的前 3 个命令-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on。其余的只是在您的服务器中爬行更多。
您可能想了解有关解决此问题的CVE-2012-1823 的更多信息。Parallels 提供了一种解决方法来保护他们的用户/客户。 此问题已在所有版本的 Ubuntu 中得到修复,只有旧的未维护服务器处于危险之中。如果您使用的版本等于或高于 php5-cgi 的 5.3.10-1ubuntu3.1,则您已脱离危险。
| 归档时间: |
|
| 查看次数: |
600 次 |
| 最近记录: |