3cl1ps3
11.07.2012, 16.28
Un'importante vulnerabilità è stata scoperta in Plesk, che permette di ottenere l'accesso completo al pannello.
Le versioni da 7.6.1 fino a 10.3.1 sono vulnerabili. Le versioni 10.4 non sono interessate.
Per sapere se il vostro server è vulnerabile, consultate il seguente articolo: http://kb.parallels.com/fr/113424
Per applicare i micro-update Plesk, seguite il seguente articolo: http://kb.parallels.com/fr/9294
Per ulteriori informazioni: http://kb.parallels.com/fr/113321
IMPORTANTE
Raccomandiamo di cambiare tutte le password degli utenti Plesk e dell'account amministratore: http://kb.parallels.com/fr/113391
Verificate e pulite il vostro server nel caso in cui sia stato compromesso:
1 Eliminare le backdoors:
Eliminate tutti gli archivi nella cartella /tmp del vostro server. Dovreste trovare gli archivi con nomi “ua” o “id”*per esempio.
2 Trovate gli script perl e cgi:
Scrivete il comando seguente: ls -al /var/www/vhosts/*/cgi-bin/*.pl /var/www/vhosts/*/cgi-bin/*.cgi . Vedrete in ogni cartella cgi-bin dei file .pl o.cgi con nomi diversi.
Esempi: preaxiad.pl, dialuric.pl,fructuous.pl . Eliminate tutti questi script se non sono vostri.
3 Mettete al sicuro il vostro sito:
A priori iniections hanno interessato CMS come wordpress, drupal e/o joomla. Assicuratevi che ilvostro sito utilizzi l'ultima versione di questi CMS.
Disattivate attraverso il pannello plesk nella sezione hosting l'opzione CGI-BIN per i siti che non utilizzano quest'opzione.
Cambiate anche la password ftp/sql dei vostri siti.
4 Trovare l'IP source:
Potete fare un grep del nome degli script.pl negli access_log del vostro sito per trovare l'IP che ha effettuato l'injection.
Per esempio: zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics /logs/access_log
dovrebbe tornarvi un output del genere:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Servitevi dell'IP all'inizio di questa linea per vedere se altri siti sono stati colpiti.
Esempio: zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log
Vi restituità la lista dei log per i siti dove gli script sono stati chiamati.
OTTENERE AIUTO
I nostri tecnici possono verificare/aggiornare lo stato del vostro server. Per far ciò, potete aprire un ticket incidente.
L'intervento sarà fatturato 80 euro iva esclusa ed include:
- la rimozione degli script/backdoors
- verifica della presenza della falla
- i microupdate e l'aggiornamento del vostro plesk
Germain
Le versioni da 7.6.1 fino a 10.3.1 sono vulnerabili. Le versioni 10.4 non sono interessate.
Per sapere se il vostro server è vulnerabile, consultate il seguente articolo: http://kb.parallels.com/fr/113424
Per applicare i micro-update Plesk, seguite il seguente articolo: http://kb.parallels.com/fr/9294
Per ulteriori informazioni: http://kb.parallels.com/fr/113321
IMPORTANTE
Raccomandiamo di cambiare tutte le password degli utenti Plesk e dell'account amministratore: http://kb.parallels.com/fr/113391
Verificate e pulite il vostro server nel caso in cui sia stato compromesso:
1 Eliminare le backdoors:
Eliminate tutti gli archivi nella cartella /tmp del vostro server. Dovreste trovare gli archivi con nomi “ua” o “id”*per esempio.
2 Trovate gli script perl e cgi:
Scrivete il comando seguente: ls -al /var/www/vhosts/*/cgi-bin/*.pl /var/www/vhosts/*/cgi-bin/*.cgi . Vedrete in ogni cartella cgi-bin dei file .pl o.cgi con nomi diversi.
Esempi: preaxiad.pl, dialuric.pl,fructuous.pl . Eliminate tutti questi script se non sono vostri.
3 Mettete al sicuro il vostro sito:
A priori iniections hanno interessato CMS come wordpress, drupal e/o joomla. Assicuratevi che ilvostro sito utilizzi l'ultima versione di questi CMS.
Disattivate attraverso il pannello plesk nella sezione hosting l'opzione CGI-BIN per i siti che non utilizzano quest'opzione.
Cambiate anche la password ftp/sql dei vostri siti.
4 Trovare l'IP source:
Potete fare un grep del nome degli script.pl negli access_log del vostro sito per trovare l'IP che ha effettuato l'injection.
Per esempio: zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics /logs/access_log
dovrebbe tornarvi un output del genere:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Servitevi dell'IP all'inizio di questa linea per vedere se altri siti sono stati colpiti.
Esempio: zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log
Vi restituità la lista dei log per i siti dove gli script sono stati chiamati.
OTTENERE AIUTO
I nostri tecnici possono verificare/aggiornare lo stato del vostro server. Per far ciò, potete aprire un ticket incidente.
L'intervento sarà fatturato 80 euro iva esclusa ed include:
- la rimozione degli script/backdoors
- verifica della presenza della falla
- i microupdate e l'aggiornamento del vostro plesk
Germain