Vulnerabilidad en Plesk
Recientemente se ha descubierto una nueva vulnerabilidad en todas las versiones del panel de control Plesk.
Independientemente de si su sistema plesk está siendo o no atacado o si es o no vulnerable, recomendamos llevar a cabo las siguientes acciones en su servidor o VPS.
Nota: si su sistema es administrado, el equipo de ADW lleva varios días trabajando en todos los sistemas administrados aplicando las soluciones pertinentes.
1.- Modifique como mínimo la contraseña de administración (admin) y si es posible también las contraseñas de todos los usuarios plesk y ftp del sistema
2.- Cambie el puerto de plesk del 8443 por el 8445 (más adelante explicamos cómo)
3.- Limpie los archivos infectados (máss adelante explicamos todo)
Cómo cambiar el puerto de plesk en las versiones 8.x
1) Editar /usr/local/psa/admin/conf/httpsd.conf y cambiar el puerto de 8443 a 8445 allí donde aparezca 8443
2) reiniciar plesk (service psa restart)
3) probar
Cómo cambiar el puerto de plesk en las versiones 9.x
1) Editar /etc/sw-cp-server/applications.d/plesk.conf
2) buscar la línea $SERVER[“socket”] == “:8443” y cambiar 8443 por 8445
3) reiniciar plesk /etc/init.d/sw-cp-server restart
Cómo limpiar los archivos infectados
1) Acceda a su sistema vía ssh como root
2) Vaya al directorio vhosts (cd /var/www/vhosts)
3) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘km0ae9gr6m’ * | xargs sed -i ‘s/\/[*]km0ae9gr6m.*$//g’
4) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘qhk6sa6g1c’ * | xargs sed -i ‘s/\/[*]qhk6sa6g1c.*$//g’
Verificar si tiene archivos infectados
1) cd /var/www/vhosts/
2) grep -rl –include=*.{php,js,html,htm} “km0ae9gr6m” *