Peter
14.03.12, 16:25
Guten Tag,
es wurde eine umfangreiche Sicherheitslücke in Plesk entdeckt, die vollständigen
Zugriff auf das Panel erlaubt.
Die Plesk Versionen von 7.6.1 bis 10.3.1 sind verwundbar, die 10.4 Versionen sind
nicht betroffen.
Um festzustellen ob Ihr Server verwundbar ist ziehen Sie bitte folgenden Artikel
zu Rate: http://kb.parallels.com/de/113424
Wie Sie die Plesk Micro-Updates einspielen wird hier beschrieben:
http://kb.parallels.com/de/9294
Mehr Informationen zu diesem Thema: http://kb.parallels.com/de/113321
---------- Wichtig ----------
Es wird dringend geraten, die Passwörter aller Plesk Benutzer sowie des Admin-
Accounts zu ändern:
http://kb.parallels.com/de/113391
Überprüfen und säubern Sie Ihren Server, falls dieser infiziert worden ist:
1. Die Backdoors entfernen:
Löschen Sie sämtliche Dateien im Ordner /tmp Ihres Servers. Sie sollten dort
beispielsweise Dateien mit den Namen 'ua' oder 'id' vorfinden.
2. Die perl und cgi Skripte lokalisieren:
Führen Sie folgenden Befehl aus: ls -al /var/www/vhosts/*/cgi-bin/*.pl
Sie finden dann in jedem /cgi-bin Ordner .pl oder .cgi Dateien mit verschiedenen
Namen.
Beispiele: preaxiad.pl, dialuric.pl, fructuous.pl
Löschen Sie all diese Skripte, wenn sie nicht von Ihnen sind.
3. Ihre Seite absichern:
Auf den ersten Blick sind die Infektionen über die CMS Wordpress, Drupal und/oder
Joomla erfolgt. Stellen Sie sicher, dass die die aktuellsten Versionen dieser CMS
verwenden.
Deaktivieren Sie im Plesk Panel in der Rubrik Hosting die CGI-BIN Option für die
Seiten, die diese Option nicht verwenden. Ändern Sie auch die FTP / SQL Passwörter
Ihrer Seiten.
4. Die Quell-IP herausfinden:
Sie können in den access_log Ihrer Seite nach dem Namen des .pl Skripts greppen, um
die IP-Adresse herauszufinden, über die die Infektion erfolgt ist.
Beispiel:
zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
Sollte eine mit dieser vergleichbare Ausgabe zurückgeben:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Nutzen Sie die IP-Adresse am Anfang dieser Zeile um herauszufinden, ob noch andere
Seiten betroffen sind.
Beispiel:
zgrep 'die.gefundene.ip.adresse' /var/www/vhosts/*/statistics/logs/access_log*
Dies gibt Ihnen dann eine Liste der Logs für die Seiten zurück, auf denen das
Skript aufgerufen wurde.
---------- Hilfe erhalten ----------
Unsere Teams können für Sie die Überprüfung und die Updates Ihres Servers
übernehmen, dazu können Sie ein Störungs-Ticket in Ihrem Manager öffnen.
Dieser Eingriff wird mit 95,20 Euro berechnet und umfasst folgende Punkte:
- Löschung der Skripte / Backdoors
- Überprüfung des Vorhandenseins der Sicherheitslücke
- Micro-Update und Update Ihrer Plesk Installation
Mit freundlichen Grüssen
Peter
OVH Team
es wurde eine umfangreiche Sicherheitslücke in Plesk entdeckt, die vollständigen
Zugriff auf das Panel erlaubt.
Die Plesk Versionen von 7.6.1 bis 10.3.1 sind verwundbar, die 10.4 Versionen sind
nicht betroffen.
Um festzustellen ob Ihr Server verwundbar ist ziehen Sie bitte folgenden Artikel
zu Rate: http://kb.parallels.com/de/113424
Wie Sie die Plesk Micro-Updates einspielen wird hier beschrieben:
http://kb.parallels.com/de/9294
Mehr Informationen zu diesem Thema: http://kb.parallels.com/de/113321
---------- Wichtig ----------
Es wird dringend geraten, die Passwörter aller Plesk Benutzer sowie des Admin-
Accounts zu ändern:
http://kb.parallels.com/de/113391
Überprüfen und säubern Sie Ihren Server, falls dieser infiziert worden ist:
1. Die Backdoors entfernen:
Löschen Sie sämtliche Dateien im Ordner /tmp Ihres Servers. Sie sollten dort
beispielsweise Dateien mit den Namen 'ua' oder 'id' vorfinden.
2. Die perl und cgi Skripte lokalisieren:
Führen Sie folgenden Befehl aus: ls -al /var/www/vhosts/*/cgi-bin/*.pl
Sie finden dann in jedem /cgi-bin Ordner .pl oder .cgi Dateien mit verschiedenen
Namen.
Beispiele: preaxiad.pl, dialuric.pl, fructuous.pl
Löschen Sie all diese Skripte, wenn sie nicht von Ihnen sind.
3. Ihre Seite absichern:
Auf den ersten Blick sind die Infektionen über die CMS Wordpress, Drupal und/oder
Joomla erfolgt. Stellen Sie sicher, dass die die aktuellsten Versionen dieser CMS
verwenden.
Deaktivieren Sie im Plesk Panel in der Rubrik Hosting die CGI-BIN Option für die
Seiten, die diese Option nicht verwenden. Ändern Sie auch die FTP / SQL Passwörter
Ihrer Seiten.
4. Die Quell-IP herausfinden:
Sie können in den access_log Ihrer Seite nach dem Namen des .pl Skripts greppen, um
die IP-Adresse herauszufinden, über die die Infektion erfolgt ist.
Beispiel:
zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
Sollte eine mit dieser vergleichbare Ausgabe zurückgeben:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Nutzen Sie die IP-Adresse am Anfang dieser Zeile um herauszufinden, ob noch andere
Seiten betroffen sind.
Beispiel:
zgrep 'die.gefundene.ip.adresse' /var/www/vhosts/*/statistics/logs/access_log*
Dies gibt Ihnen dann eine Liste der Logs für die Seiten zurück, auf denen das
Skript aufgerufen wurde.
---------- Hilfe erhalten ----------
Unsere Teams können für Sie die Überprüfung und die Updates Ihres Servers
übernehmen, dazu können Sie ein Störungs-Ticket in Ihrem Manager öffnen.
Dieser Eingriff wird mit 95,20 Euro berechnet und umfasst folgende Punkte:
- Löschung der Skripte / Backdoors
- Überprüfung des Vorhandenseins der Sicherheitslücke
- Micro-Update und Update Ihrer Plesk Installation
Mit freundlichen Grüssen
Peter
OVH Team