Resultados 1 al 1 de 1

Tema: [IMPORTANTE] Fallo de seguridad Plesk (<10.4)

  1. #1

    Predeterminado [IMPORTANTE] Fallo de seguridad Plesk (<10.4)

    Buenos días

    Una vulnerabilidad importante ha sido descubierta en Plesk, permitiendo
    obtener acceso completo al panel.

    Las versiones desde la 7.6.1 hasta la 10.3.1 son vulnerables. Las versiones
    10.4 y superiores no están afectadas.

    Para saber si su servidor es vulnerable, consulte el artículo siguiente:
    http://kb.parallels.com/es/113424

    Para aplicar las actualizaciones de seguridad de Plesk, consulte el artículo
    siguiente: http://kb.parallels.com/es/9294

    Para saber más : http://kb.parallels.com/es/113321



    ---------- Importante ----------

    Es muy recomendable cambiar todas las contraseñas de usuarios de
    Plesk así como la cuenta de Admin:
    http://kb.parallels.com/es/113391

    Verifique y limpie su servidor en el caso que haya sido comprometido:

    1.) Suprimir los backdoors:
    Sumprima todos los ficheros de la carpeta /tmp de su servidor.
    Debería tener ficheros nombrados 'ua' o 'id' por ejemplo.

    2.) Localizar los scripts perl y cgi
    Tapez la commande suivante: ls -al /var/www/vhosts/*/cgi-bin/*.pl .
    Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
    des noms différents.
    Exemples: preaxiad.pl, dialuric.pl, fructuous.pl .
    Supprimez tous ces scripts si ils ne sont pas les votres.

    3.) Securizar su sitio:
    A priori las inyecciones han tenido lugar en los CMS wordpress, durpal
    y/o joomla. Asegúrese bien de que su sitio utiliza la última versión de
    dichos CMS.

    Desctive a través del panel Plesk en la parte de alojamiento la opción
    de CGI-BIN para los sitios que no utilizan esta opción.

    Cambie igualmente la contraseña ftp / sql de sus sitios web.

    4.) Localizar la IP de origen:
    Puede hacer un grep del nombre del script.pl en los access_log de
    su sitio web para encontrar la IP que ha efectuado la inyección.

    Por ejemplo:
    zgrep 'preaxiad' /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
    devrait vous retourner une ligne du genre:
    12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2; U)"
    Servez-vous de l'IP au début de cette ligne pour voir si d'autres sites
    sont affectés.

    Ejemplo:
    zgrep 'ip.en.question.ici' /var/www/vhosts/*/statistics/logs/access_log*

    esto le devolverá por tanto la lista de los logs para los siios en los cuales el
    script se ha utilizado.



    ---------- Obtener ayuda ----------

    Nuestros equipos puede ocuparse de la verificación y actualización del
    servidor. Para ello puede abrir un tiquet de incidencia.

    http://www.ovh.es/soporte/declarar_incidente.xml

    La intervención tiene un coste de 80 Euros (+IVA) incluyendo:
    - la supresión de scripts/backdoors
    - verificación de la presencia del fallo
    - la actualización y corrección de su sistema Plesk
    Última edición por admin OVH; 16/03/2012 a las 13:07
    --
    Cordialmente,
    OVH, Equipo de administración

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •