Дивні запити POST на мій сервер Ubuntu - чи я в неприємності?

У мене на VM встановлений сервер Ubuntu 12.04. На цьому сервері встановлено apache2-mpm-prefork та libapache2-mod-php5 . Я переглядав журнали і нещодавно натрапив на ці досить підозрілі записи:

xx.xx.xx.xx - - [20/Jan/2014:09:00:04 +0000] "HEAD / HTTP/1.0" 200 274 ...
xx.xx.xx.xx - - [20/Jan/2014:09:00:23 +0000] "POST /cgi-bin/php?%2D%64+...
xx.xx.xx.xx - - [20/Jan/2014:09:00:25 +0000] "POST /cgi-bin/php5?%2D%64...
...

Розшифровка вмісту за php?...результатами:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d
  disable_functions="" -d open_basedir=none -d
  auto_prepend_file=php://input -d cgi.force_redirect=0 -d
  cgi.redirect_status_env=0 -n

Це щось, про що я повинен турбуватися?

Ймовірно, це стара атака нульового дня, націлена на панель "Паралелі". Якщо ви його не виконуєте, ви повинні бути в безпеці. Це цитата про те, як здійснюється атака з Computer World :

Команда, виконана експлуатуванням, містить кілька аргументів, які призначені для відключення механізмів захисту, які можуть існувати на сервері, сказав він. Сюди входить аргумент "enable_url_include = on", який дозволяє зловмиснику включати довільний PHP-код та аргумент "safe_mode = off". «На завершальному етапі Suhosin, патч із загартовування PHP, переводиться в режим імітації. Цей режим призначений для тестування додатків і ефективно вимикає додатковий захист. "

У запиті POST ми можемо побачити 3 вершини атаки, що насправді є першими 3 надісланими командами -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on. Решта просто повзає більше на вашому сервері.

Ви можете дізнатися більше про CVE-2012-1823, які стосуються цього питання. Паралелі запропонували рішення для захисту своїх користувачів / споживачів. Ця проблема виправлена ​​у всіх версіях Ubuntu, лише старі непідтримувані сервери загрожують. Якщо ви використовуєте версію, рівну або вищу, ніж 5.3.10-1ubuntu3.1 php5-cgi, ви не в небезпеці.