OVH Community, votre nouvel espace communautaire.

Faille de sécurité Plesk (<10.4)


Germain
14/03/2012, 17h44
Bonjour,

Une importante vulnérabilité a été découverte dans Plesk, permettant d'obtenir l'accès complet au panel.
Les versions depuis 7.6.1 jusqu'à 10.3.1 sont vulnérables. Les versions 10.4 ne sont pas concernées.

Pour savoir si votre serveur est vulnérable, veuillez consulter l'article suivant : http://kb.parallels.com/fr/113424
Pour appliquer les micro-updates Plesk, veuillez suivre l'article suivant : http://kb.parallels.com/fr/9294
Pour en savoir plus : http://kb.parallels.com/fr/113321


IMPORTANT

Il est fortement recommandé de changer tous les mots de passe des utilisateurs Plesk ainsi que du compte Admin : http://kb.parallels.com/fr/113391

Vérifiez et nettoyez votre serveur au cas où il aurait été corrompu :

  1. Supprimer les backdoors:
    Supprimez tous les fichiers dans le dossier /tmp de votre serveur. Vous devriez y trouver des fichiers nommés 'ua' ou 'id' par exemple.

  2. Localiser les scripts perl et cgi
    Tapez la commande suivante: ls -al /var/www/vhosts/*/cgi-bin/*.pl /var/www/vhosts/*/cgi-bin/*.cgi . Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec des noms différents.
    Exemples: preaxiad.pl, dialuric.pl, fructuous.pl . Supprimez tous ces scripts si ils ne sont pas les votres.

  3. Sécuriser votre site:
    A priori des injections ont eu lieu sur les CMS wordpress, drupal et/ou joomla. Assurez-vous que votre site utilise bien la dernière version de ces CMS.
    Désactivez via le panel plesk dans la partie hébergement l'option CGI-BIN pour les sites qui n'utilisent pas cette option.
    Changez également le mot de pass ftp / sql de vos sites.

  4. Localiser l'IP source:
    Vous pouvez faire un grep du nom du script.pl dans les access_log de votre site afin de trouver l'IP qui a effectué l'injection.

    Par exemple: zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics /logs/access_log*
    devrait vous retourner une ligne du genre:
    12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
    Servez-vous de l'IP au début de cette ligne pour voir si d'autres sites sont affectés.
    Exemple: zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*
    Cela vous retournera alors la liste des logs pour les sites où le script as été appelé.



OBTENIR DE L'AIDE

Nos équipes peuvent prendre en charge la vérification / mise à jour de votre serveur. Pour cela vous pouvez ouvrir un ticket incident.

L'intervention sera facturée 80 Euro HT et inclut :
- la suppression des scripts / backdoors
- vérification présence de la faille
- le microupdate et update de votre plesk




Germain