We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Bezpečností chyba v PLESK


Jan Cehák
03-15-2012, 09:20 AM
Ahoj

U aplikace Plesk byla zjištěna zásadní chyba v bezpečnosti, která umožňuje přístup k panelu. Zranitelné jsou všechny verze od 7.6.1 do 10.3.1.\\ Verze
10.4 je již proti tomu ošetřena.

Abyste zjistili, zda je Váš server zranitelný či nikoli, podívejte se na následující článek: http://kb.parallels.com/en/113424

Pro provedení mikro-aktualizace Plesk se podívejte na následující článek: http://kb.parallels.com/en/9294

Pro více informací: http://kb.parallels.com/en/113321


---------- Důležité ----------
Je doporučeno, abyste si změnili veškeré hesla pro uživatele Plesk i pro Administrátorský účet: http://kb.parallels.com/en/113391


Zkontrolujte si a vyčištěte server v případě, že již byl napaden:

1) Vymazání backdoor:
Vymažte všechny soubory v adresáři /tmp na svém serveru.
Měli byste tam vidět soubory pojmenované například jako 'u' či 'id'.

2) Lokalizace skriptů cgi a perl
Spusťte následující příkaz: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Měli byste vidět v každém cgi-bin adresáři soubor .pl či .cgi s různými názvy.
Příklad: preaxiad.pl, dialuric.pl, fructuous.pl .
Jestliže tyto skripty nejsou Vaše, pak je všechny vymažte.

3) Zabezpečte svoji stránku:
Problémy způsobují wordpress, drupal a/nebo joomla. Ujistěte se, že používáte poslední vydanou verzi těchto CMS.
Zakažte přes plesk panel na hostingu CGI-BIN možnost pro stránky, které toto nepoužívají.
Také změňte heslo pro ftp/sql stránky.

4) Lokalizujte zdrojovou IP
Můžete si vyhledat název skriptu v access_log Vašich stránek, abyste si naši IP adresu ze které byly Vaše stránky infikovány.

Příklad:
zgrep 'preaxiad'
/var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*

By mělo vrátit řádek podobný tomuto:

12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET
/cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"

Použijte IP na začátku řádky pro zjištění, zda byly napadeny i jiné stránky.

Příklad:
zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*

Tento příkaz vrátí seznam logů na stránky, které skript volal.


---------- Potřebujete pomoc? ----------
Náš tým Vám může ověření a oštření serveru provést.
Stačí si vytvořit ticket
http://www.ovh.cz/podpora/nahlaseni_problemu.xml

Zásah bude zpoplatněn částkou 2 000 Kč s DPH a zahrnuje:
- Odebrání skriptů / backdoor
- Kontrola přítomnosti chyb
- Micro-aktualizace a aktualizace Vašeho Plesk