Pragmacom:agence web,print,hebergeur,infogerance,telephonie VOIP,...

Support Travaux

ovh - [IMPORTANT] Faille de sécurité Plesk (<10.4)

Bonjour,

Une importante vulnérabilité a été découverte dans Plesk, permettant
d’obtenir l’accés complet au panel.
Les versions depuis 7.6.1 jusqu’à 10.3.1 sont vulnérables. Les versions
10.4 ne sont pas concernées.

Pour savoir si votre serveur est vulnérable, veuillez consulter
l’article suivant : http://kb.parallels.com/fr/113424

Pour appliquer les micro-updates Plesk, veuillez suivre l’article
suivant : http://kb.parallels.com/fr/9294

Pour en savoir plus : http://kb.parallels.com/fr/113321

Important ----------

Il est fortement recommandé de changer tous les mots de passe des
utilisateurs Plesk ainsi que du compte Admin :
http://kb.parallels.com/fr/113391

Vérifiez et nettoyez votre serveur au cas où il aurait été corrompu :

1.) Supprimer les backdoors :
Supprimez touts les fichiers dans le dossier /tmp de votre serveur.
Vous devriez y trouver des fichiers nommés ’ua’ ou ’id’ par exemple.

2.) Localiser les scripts perl et cgi
Tapez la commande suivante : ls -al /var/www/vhosts/*/cgi-bin/*.pl .
Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec
des noms différents.
Exemples : preaxiad.pl, dialuric.pl, fructuous.pl .
Supprimez tous ces scripts si ils ne sont pas les votres.

3.) Sécuriser votre site :
A priori des injections ont eu lieu sur les CMS wordpress, drupal
et/ou joomla. Assurez-vous que votre site utilise bien la dernière
version de ces CMS.
Désactivez via le panel plesk dans la partie hébergement
l’option CGI-BIN pour les sites qui n’utilisent pas cette option.
Changez également le mot de pass ftp / sql de vos sites.

4.) Localiser l’IP source :
Vous pouvez faire un grep du nom du script.pl dans les access_log de
votre site afin de trouver l’IP qui a effectué l’injection.

Par exemple :
zgrep ’preaxiad’ /var/www/vhosts/VOTREDOMAINEICI/statistics/logs/access_log*
devrait vous retourner une ligne du genre :
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] "GET /cgi-bin/preaxiad.pl HTTP/1.1" 200 181 "" "Opera/7.21 (Windows NT 5.2 ; U)"
Servez-vous de l’IP au début de cette ligne pour voir si d’autres sites
sont affectés.

Exemple :
zgrep ’ip.en.question.ici’ /var/www/vhosts/*/statistics/logs/access_log*

Cela vous retournera alors la liste des logs pour les sites où le
script as été appelé.

Obtenir de l’aide ----------

Nos équipes peuvent prendre en charge la vérification / mise à jour de
votre serveur. Pour cela vous pouvez ouvrir un ticket incident
http://www.ovh.com/fr/support/declarer_incident_coordonnees.xml

L’intervention sera facturée 80 Euro HT et inclut :
- la suppression des scripts / backdoors
- vérification présence de la faille
- le microupdate et update de votre plesk

— 
Germain, OVH

Navigation
Derniers sites
On a lu pour vous
On partage nos astuces
Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter

Pragmacom Main&Design

Pragmacom une société à taille humaine qui dispose de plus de 10 ans d'expérience dans l'hébergement, la conception et réalisation de websites.

Discuter avec nous?

@pragmacom

Un problème avec un de nos services?
Ouvrez un ticket

Nos services
La société
Knowlage base
Suivez-nous
Coordonnées
  • Téléphone :
    +32 (0)81 58 33 80
  • Email:
    info@pragmacom.eu
  • Adresse:
    42, Chaussée de Namur
    5360 Natoye
    Belgique

© 2020 Pragmacom Main&Design, Inc. All rights reserved.

CGV | Mentions légales | Paiements

CGV | Mentions légales | Paiements