We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Plesk saugumo spraga


Gyvai
03-15-2012, 11:18 AM
Sveiki,

Aptikta svarbi Plesk saugumo spraga, suteikianti galimybę gauti visišką prieigą prie skydo. Pažeidžiamos versijos: nuo 7.6.1 iki 10.3.1. 10.4 versija nepažeidžiama.

Norėdami sužinoti, ar jūsų versija pažeidžiama, skaitykite šį straipsnį: http://kb.parallels.com/eu/113424

Kaip įdiegti Plesk micro-update: http://kb.parallels.com/eu/9294

Daugiau informacijos: http://kb.parallels.com/eu/113321

---------- Svarbu ----------

Rekomenduojame pakeisti visų Plesk vartotojų slaptažodžius, taip pat ir Admin:
http://kb.parallels.com/eu/113391

Patikrinkite, ar į jūsų serverį nebuvo įsibrauta:

1. Pašalinkite backdoors:
Ištrinkite visus failus iš katalogo /tmp. Ypač jei rasite failų, kurių pavadinimas "ua" ar "id".

2. Aptikite perl ir cgi scenarijus
Įveskite komandą ls -al /var/www/vhosts/*/cgi-bin/*.pl
Patikrinkite, ar kiekviename cgi-bin kataloge nėra .pl ir .cgi failų failai su šiais pavadinimas: preaxiad.pl, dialuric.pl, fructuous.pl.
Ištrinkite visus failus, kurie nėra jūsų.

3. Apsaugokite savo svetainę:
Pirmiausiai injekcijos buvo atliekamos į wordpress, drupal ir/ar joomla!. Įsitikinkite, kad naudojate naujausią šių TVS versiją. Išjunkite Pleks panel skyriuje esančią CGI-BIN parinktį svetainėms, kurios jos nenaudoja. Taip pat pakeiskite visų svetainių FTP/SQL slaptažodžius.

4. Aptikite IP source:
access_log paieškokite scnarijaus_pavadinimas.pl, kad rastumėte IP, iš kurio buvo atlikta injekcija.
Pavyzdžiui:
zgrep 'preaxiad' /var/www/vhosts/JUSUDOMENAS/statistics/logs/access_log*
Turėtumėte matyti tokį įrašą:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"

Panaudokite tą patį IP, kad patikrintumėte, ar nebuvo braunamasi ir į kitas svetaines.

Pavyzdžiui:
zgrep 'surastas.ip.adresas.cia.' /var/www/vhosts/*/statistics/logs/access_log*

Matysite visas svetaines, kuriose buvo iššauktas scenarijus.


---------- Pagalba ----------

Mūsų komandos gali patikrinti / atnaujinti jūsų serverį. Tam pakanka sukurti gedimo kvitą:
http://www.ovh.lt/pagalba/pranesti_apie_incidenta.xml

Intervencijos kaina: 80 € be PVM. Jos metu bus atlikta:
- scenarijų/backdoors trynimas;
- saugumo spragos tikrinimas;
- Plesk micro-update.




--
Germain, OVH