Strane richieste POST al mio server Ubuntu - sono nei guai?

Ho un Ubuntu Server 12.04 installato su una VM. Questo server ha apache2-mpm-prefork e libapache2-mod-php5 installati. Stavo guardando attraverso i registri e recentemente mi sono imbattuto in queste voci piuttosto sospette:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

La decodifica del contenuto dopo il php?...risultato è il seguente:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

È qualcosa di cui dovrei preoccuparmi?

È probabilmente un vecchio attacco Zero Day che prende di mira Parallels Plesk Panel. Se non lo stai eseguendo, dovresti essere abbastanza sicuro. Questa è una citazione su come viene fatto l'attacco da Computer World :

Un comando eseguito dall'exploit contiene diversi argomenti che hanno lo scopo di disabilitare i meccanismi di sicurezza che potrebbero esistere sul server, ha affermato. Questi includono l'argomento "allow_url_include = on" che consente all'attaccante di includere un codice PHP arbitrario e l'argomento "safe_mode = off". “Come ultimo passo, Suhosin, una patch di indurimento PHP, viene messa in modalità simulazione. Questa modalità è progettata per i test delle applicazioni e disattiva efficacemente la protezione aggiuntiva. "

Nella richiesta POST possiamo vedere i 3 vertici dell'attacco, che sono in effetti i primi 3 comandi inviati -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Il resto è solo una ricerca per indicizzazione nel tuo server.

Potresti voler saperne di più sul CVE-2012-1823 che affronta questo problema. Parallels ha fornito una soluzione alternativa per proteggere i propri utenti / clienti. Questo problema è stato risolto in tutte le versioni di Ubuntu, solo i vecchi server non mantenuti sono in pericolo. Se stai usando una versione uguale o superiore a 5.3.10-1ubuntu3.1 di php5-cgi, sei fuori pericolo.