Ubuntuサーバーへの奇妙なPOSTリクエスト-困っていますか？

Ubuntu Server 12.04をVMにインストールしています。このサーバーにはapache2-mpm-preforkとlibapache2-mod-php5がインストールされています。ログを調べていたところ、最近これらのかなり疑わしいエントリに遭遇しました。

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

php?...次の結果の後にコンテンツをデコードします。

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

これは私が心配すべきことですか？

おそらく、Parallels Plesk Panelを対象とした古いZero Day攻撃です。実行していない場合は、かなり安全である必要があります。これは、Computer Worldからの攻撃方法に関する引用です。

このエクスプロイトによって実行されるコマンドには、サーバー上に存在する可能性のあるセキュリティメカニズムを無効にすることを目的としたいくつかの引数が含まれています。これらには、攻撃者が任意のPHPコードと「safe_mode = off」引数を含めることを許可する「allow_url_include = on」引数が含まれます。「最終ステップとして、PHP強化パッチであるSuhosinをシミュレーションモードにします。このモードは、アプリケーションのテスト用に設計されており、追加の保護を効果的にオフにします。」

POSTリクエストでは、攻撃の3つの頂点を見ることができます。これは実際には送信された最初の3つのコマンド-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=onです。残りはサーバーでさらにクロールするだけです。

この問題に対処するCVE-2012-1823について詳しく知りたい場合があります。Parallelsは、ユーザー/コスチューマーを保護 する回避策を提供しました。この問題はUbuntuのすべてのバージョンで修正されており、古いメンテナンスされていないサーバーのみが危険にさらされています。php5-cgiの5.3.10-1ubuntu3.1以上のバージョンを使用している場合、危険はありません。