Vulnerabilidad en Plesk

por webstudio el 13 julio, 2012

Recientemente se ha descubierto una nueva vulnerabilidad en todas las versiones del panel de control Plesk.

Fuente: http://kb.parallels.com/en/114330

Independientemente de si su sistema plesk está siendo o no atacado o si es o no vulnerable, recomendamos llevar a cabo las siguientes acciones en su servidor o VPS.

Nota: si su sistema es administrado, el equipo de ADW lleva varios días trabajando en todos los sistemas administrados aplicando las soluciones pertinentes.

1.- Modifique como mínimo la contraseña de administración (admin) y si es posible también las contraseñas de todos los usuarios plesk y ftp del sistema

2.- Cambie el puerto de plesk del 8443 por el 8445  (más adelante explicamos cómo)

3.- Limpie los archivos infectados (máss adelante explicamos todo)

Cómo cambiar el puerto de plesk en las versiones 8.x

1) Editar /usr/local/psa/admin/conf/httpsd.conf y cambiar el puerto de 8443 a 8445 allí donde aparezca 8443
2) reiniciar plesk (service psa restart)
3) probar

Cómo cambiar el puerto de plesk en las versiones 9.x

1) Editar /etc/sw-cp-server/applications.d/plesk.conf
2) buscar la línea $SERVER[“socket”] == “:8443” y cambiar 8443 por 8445
3) reiniciar plesk /etc/init.d/sw-cp-server restart

Cómo limpiar los archivos infectados

1) Acceda a su sistema vía ssh como root
2) Vaya al directorio vhosts (cd /var/www/vhosts)
3) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘km0ae9gr6m’ * | xargs sed -i ‘s/\/[*]km0ae9gr6m.*$//g’
4) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘qhk6sa6g1c’ * | xargs sed -i ‘s/\/[*]qhk6sa6g1c.*$//g’

Verificar si tiene archivos infectados

1) cd /var/www/vhosts/
2) grep -rl –include=*.{php,js,html,htm} “km0ae9gr6m” *