Неправильные полномочия локальной файловой системы? Неверная конфигурация WebDAV Apache? SELinux? Файловая система, смонтированная только для чтения? Неблагоприятная фаза луны?
Без большей информации о Вашей конфигурации веб-сервера трудно предоставить более целенаправленную консультацию. Действительно ли там что-нибудь полезно в Вашем доступе Apache или журналах ошибок, или в системном журнале?
Это похоже на обычную атаку, при которой они пытаются ввести команды cgi. Получите себе IDS или HIDS. Они могут автоматически уведомлять вас или блокировать трафик при просмотре вредоносных строк.
Также убедитесь, что ваши системы максимально защищены, насколько это возможно, уменьшите свой информационный след.
Убедитесь, что вы отслеживаете преступника, если это случается время от времени, это обычный фоновый шум в Интернете.
Это атака PHP-CGI.
-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on
-d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input
-d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
Приведенный выше раздел данных будет ошибочно передан интерпретатору командной строки PHP и может позволить злоумышленнику переопределить определенные конфигурации PHP. В этом случае одной из ключевых модификаций является указание «auto_prepend_file = php: // input», которое позволит злоумышленнику отправить код PHP в теле запроса.
ССЫЛКА: http://blog.spiderlabs.com/2013/11/honeypot-alert-more-php-cgi-scanning-apache-magikac.html