admin OVH
15/03/2012, 21:02
Buenos días
Una vulnerabilidad importante ha sido descubierta en Plesk, permitiendo
obtener acceso completo al panel.
Las versiones desde la 7.6.1 hasta la 10.3.1 son vulnerables. Las versiones
10.4 y superiores no están afectadas.
Para saber si su servidor es vulnerable, consulte el artículo siguiente:
http://kb.parallels.com/es/113424
Para aplicar las actualizaciones de seguridad de Plesk, consulte el artículo
siguiente: http://kb.parallels.com/es/9294
Para saber más : http://kb.parallels.com/es/113321
---------- Importante ----------
Es muy recomendable cambiar todas las contraseñas de usuarios de
Plesk así como la cuenta de Admin:
http://kb.parallels.com/es/113391
Verifique y limpie su servidor en el caso que haya sido comprometido:
1.) Suprimir los backdoors:
Sumprima todos los ficheros de la carpeta /tmp de su servidor.
Debería tener ficheros nombrados 'ua' o 'id' por ejemplo.
2.) Localizar los scripts perl y cgi
Tapez la commande suivante: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
des noms différents.
Exemples: preaxiad.pl, dialuric.pl, fructuous.pl .
Supprimez tous ces scripts si ils ne sont pas les votres.
3.) Securizar su sitio:
A priori las inyecciones han tenido lugar en los CMS wordpress, durpal
y/o joomla. Asegúrese bien de que su sitio utiliza la última versión de
dichos CMS.
Desctive a través del panel Plesk en la parte de alojamiento la opción
de CGI-BIN para los sitios que no utilizan esta opción.
Cambie igualmente la contraseña ftp / sql de sus sitios web.
4.) Localizar la IP de origen:
Puede hacer un grep del nombre del script.pl en los access_log de
su sitio web para encontrar la IP que ha efectuado la inyección.
Por ejemplo:
zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
devrait vous retourner une ligne du genre:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Servez-vous de l'IP au début de cette ligne pour voir si d'autres sites
sont affectés.
Ejemplo:
zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*
esto le devolverá por tanto la lista de los logs para los siios en los cuales el
script se ha utilizado.
---------- Obtener ayuda ----------
Nuestros equipos puede ocuparse de la verificación y actualización del
servidor. Para ello puede abrir un tiquet de incidencia.
http://www.ovh.es/soporte/declarar_incidente.xml
La intervención tiene un coste de 80 Euros (+IVA) incluyendo:
- la supresión de scripts/backdoors
- verificación de la presencia del fallo
- la actualización y corrección de su sistema Plesk
Una vulnerabilidad importante ha sido descubierta en Plesk, permitiendo
obtener acceso completo al panel.
Las versiones desde la 7.6.1 hasta la 10.3.1 son vulnerables. Las versiones
10.4 y superiores no están afectadas.
Para saber si su servidor es vulnerable, consulte el artículo siguiente:
http://kb.parallels.com/es/113424
Para aplicar las actualizaciones de seguridad de Plesk, consulte el artículo
siguiente: http://kb.parallels.com/es/9294
Para saber más : http://kb.parallels.com/es/113321
---------- Importante ----------
Es muy recomendable cambiar todas las contraseñas de usuarios de
Plesk así como la cuenta de Admin:
http://kb.parallels.com/es/113391
Verifique y limpie su servidor en el caso que haya sido comprometido:
1.) Suprimir los backdoors:
Sumprima todos los ficheros de la carpeta /tmp de su servidor.
Debería tener ficheros nombrados 'ua' o 'id' por ejemplo.
2.) Localizar los scripts perl y cgi
Tapez la commande suivante: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
des noms différents.
Exemples: preaxiad.pl, dialuric.pl, fructuous.pl .
Supprimez tous ces scripts si ils ne sont pas les votres.
3.) Securizar su sitio:
A priori las inyecciones han tenido lugar en los CMS wordpress, durpal
y/o joomla. Asegúrese bien de que su sitio utiliza la última versión de
dichos CMS.
Desctive a través del panel Plesk en la parte de alojamiento la opción
de CGI-BIN para los sitios que no utilizan esta opción.
Cambie igualmente la contraseña ftp / sql de sus sitios web.
4.) Localizar la IP de origen:
Puede hacer un grep del nombre del script.pl en los access_log de
su sitio web para encontrar la IP que ha efectuado la inyección.
Por ejemplo:
zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
devrait vous retourner une ligne du genre:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Servez-vous de l'IP au début de cette ligne pour voir si d'autres sites
sont affectés.
Ejemplo:
zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*
esto le devolverá por tanto la lista de los logs para los siios en los cuales el
script se ha utilizado.
---------- Obtener ayuda ----------
Nuestros equipos puede ocuparse de la verificación y actualización del
servidor. Para ello puede abrir un tiquet de incidencia.
http://www.ovh.es/soporte/declarar_incidente.xml
La intervención tiene un coste de 80 Euros (+IVA) incluyendo:
- la supresión de scripts/backdoors
- verificación de la presencia del fallo
- la actualización y corrección de su sistema Plesk