We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

[IMPORTANTE] Fallo de seguridad Plesk (<10.4)


admin OVH
15/03/2012, 21:02
Buenos días

Una vulnerabilidad importante ha sido descubierta en Plesk, permitiendo
obtener acceso completo al panel.

Las versiones desde la 7.6.1 hasta la 10.3.1 son vulnerables. Las versiones
10.4 y superiores no están afectadas.

Para saber si su servidor es vulnerable, consulte el artículo siguiente:
http://kb.parallels.com/es/113424

Para aplicar las actualizaciones de seguridad de Plesk, consulte el artículo
siguiente: http://kb.parallels.com/es/9294

Para saber más : http://kb.parallels.com/es/113321



---------- Importante ----------

Es muy recomendable cambiar todas las contraseñas de usuarios de
Plesk así como la cuenta de Admin:
http://kb.parallels.com/es/113391

Verifique y limpie su servidor en el caso que haya sido comprometido:

1.) Suprimir los backdoors:
Sumprima todos los ficheros de la carpeta /tmp de su servidor.
Debería tener ficheros nombrados 'ua' o 'id' por ejemplo.

2.) Localizar los scripts perl y cgi
Tapez la commande suivante: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
des noms différents.
Exemples: preaxiad.pl, dialuric.pl, fructuous.pl .
Supprimez tous ces scripts si ils ne sont pas les votres.

3.) Securizar su sitio:
A priori las inyecciones han tenido lugar en los CMS wordpress, durpal
y/o joomla. Asegúrese bien de que su sitio utiliza la última versión de
dichos CMS.

Desctive a través del panel Plesk en la parte de alojamiento la opción
de CGI-BIN para los sitios que no utilizan esta opción.

Cambie igualmente la contraseña ftp / sql de sus sitios web.

4.) Localizar la IP de origen:
Puede hacer un grep del nombre del script.pl en los access_log de
su sitio web para encontrar la IP que ha efectuado la inyección.

Por ejemplo:
zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
devrait vous retourner une ligne du genre:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Servez-vous de l'IP au début de cette ligne pour voir si d'autres sites
sont affectés.

Ejemplo:
zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*

esto le devolverá por tanto la lista de los logs para los siios en los cuales el
script se ha utilizado.



---------- Obtener ayuda ----------

Nuestros equipos puede ocuparse de la verificación y actualización del
servidor. Para ello puede abrir un tiquet de incidencia.

http://www.ovh.es/soporte/declarar_incidente.xml

La intervención tiene un coste de 80 Euros (+IVA) incluyendo:
- la supresión de scripts/backdoors
- verificación de la presencia del fallo
- la actualización y corrección de su sistema Plesk