ovh - [IMPORTANT] Faille de sécurité Plesk (<10.4)

Bonjour,

Une importante vulnérabilité a été découverte dans Plesk, permettant
d’obtenir l’accés complet au panel.
Les versions depuis 7.6.1 jusqu’à 10.3.1 sont vulnérables. Les versions
10.4 ne sont pas concernées.

Pour savoir si votre serveur est vulnérable, veuillez consulter
l’article suivant : http://kb.parallels.com/fr/113424

Pour appliquer les micro-updates Plesk, veuillez suivre l’article
suivant : http://kb.parallels.com/fr/9294

Pour en savoir plus : http://kb.parallels.com/fr/113321


Important ----------

Il est fortement recommandé de changer tous les mots de passe des
utilisateurs Plesk ainsi que du compte Admin :
http://kb.parallels.com/fr/113391

Vérifiez et nettoyez votre serveur au cas où il aurait été corrompu :

1.) Supprimer les backdoors :
Supprimez touts les fichiers dans le dossier /tmp de votre serveur.
Vous devriez y trouver des fichiers nommés ’ua’ ou ’id’ par exemple.

2.) Localiser les scripts perl et cgi
Tapez la commande suivante : ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
des noms différents.
Exemples : preaxiad.pl, dialuric.pl, fructuous.pl .
Supprimez tous ces scripts si ils ne sont pas les votres.

3.) Sécuriser votre site :
A priori des injections ont eu lieu sur les CMS wordpress, drupal
et/ou joomla. Assurez-vous que votre site utilise bien la dernière
version de ces CMS.
Désactivez via le panel plesk dans la partie hébergement
l’option CGI-BIN pour les sites qui n’utilisent pas cette option.
Changez également le mot de pass ftp / sql de vos sites.

4.) Localiser l’IP source :
Vous pouvez faire un grep du nom du script.pl dans les access_log de
votre site afin de trouver l’IP qui a effectué l’injection.

Par exemple :
zgrep ’preaxiad’ /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
devrait vous retourner une ligne du genre :
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2 ; U)"
Servez-vous de l’IP au début de cette ligne pour voir si d’autres sites
sont affectés.

Exemple :
zgrep ’ip.en.question.ici’ /var/www/vhosts/*/statistics/logs/access_log*

Cela vous retournera alors la liste des logs pour les sites où le
script as été appelé.


Obtenir de l’aide ----------

Nos équipes peuvent prendre en charge la vérification / mise à jour de
votre serveur. Pour cela vous pouvez ouvrir un ticket incident
http://www.ovh.com/fr/support/declarer_incident_coordonnees.xml

L’intervention sera facturée 80 Euro HT et inclut :
- la suppression des scripts / backdoors
- vérification présence de la faille
- le microupdate et update de votre plesk

— 
Germain, OVH

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter