We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Importante: Falha de segurança no painel Parallels Plesk


Ludgero
14-03-12, 17:00
Olá,

Uma (séria) vulnerabilidade foi descoberta no painel Plesk.
Esta permite o acesso completo ao painel de administração
As versões 7.61 até à 10.3.1 são afetadas por esta vulnerabilidade.
As versões 10.4 não são afetadas.

Para saber mais sobre esta vulnerabilidade consulte o artigo :
http://kb.parallels.com/en/113424

Para aplicar os micro-updates Plesk, siga as instruções seguintes:
http://kb.parallels.com/en/9294

Para mais informações : http://kb.parallels.com/en/113321


---------- Importante ----------

É altamente recomendada a alteração de todas as palavras-passe dos utilizadores Plesk,
bem como da conta "admin" :

http://kb.parallels.com/en/113391

Verifique e limpe o seu servidor, caso o mesmo tenha sofrido corrupção :

1.) Apagar backdoors:
Apague todos os ficheiros na pasta /tmp do seu servidor.
Deverá encontrar aí ficheiros com nome 'ua' ou 'id',por exemplo.

2.) Localizar os scripts perl et cgi
Digite este comando: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Verá em cada uma das pastas cgi-bin ficheiros .pl ou .cgi com nomes
diferentes.
Exemplos: preaxiad.pl, dialuric.pl, fructuous.pl .
Apague todos estes scripts se não são seus.

3.) reforçar a segurança do seu site:
Em principio, as injeções ocorreram a partir de CMS wordpress, drupal
e/ou Joomla.
Assegure-se que o seu site utiliza a última versão destes CMS.
Desative a partir do painel, na secção de alojamento a opção
CGI-BIN para todos os sites que aloja que não necessitem desta opção.
Altere também a palavra-passe ftp / sql dos seus sites.

4) Localizar o IP de origem do problema :
Pode fazer um grep do nome do script.pl no ficheiro access_log do seu site
para que saiba de onde partiu a injeção de código.

Por exemplo, o comando:

zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
deve devolver-lhe uma linha do género :
12.34.56.78 - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
Sirva-se do IP no inicio da linh apara saber se da mesma fonte foram mais sites afetados.

e faça-o, por exemplo, assim:
zgrep '12.34.56.78' /var/www/vhosts/*/statistics/logs/access_log*

isso irá dar-lhe então como resultado a lista dos sites para os quais o script malicioso foi executado

A equipa de gestão de incidentes poderá fazer a verificação / atualização do seu servidor. Para tal deverá abrir um ticket de incidente.


A intervenção será cobrada a 80 Eur + IVA e inclui :
- a remoção de scripts / backdoors
- verificação de presença da falha
- o "microupdate" e o update do seu painel Plesk