Sites no Ubuntu 8.04 LTS com o Plesk estão infectados com vírus [duplicado]

Primeiro, se houver um rootkit, provavelmente você está lutando uma luta sem fim. Coloque o servidor offline e reinstale e restaure backups pré-infecção. Esse é o "melhor" método de correção.

Em segundo lugar, você estava atualizado sobre patches e tal antes da infecção ou você corrigiu?

Em terceiro lugar, qual código personalizado está sendo executado no servidor fora do Plesk? Como você sabe que foi o vetor de infecção?

Sem auditoria e sandboxing, você terá dificuldades em contar o que aconteceu. Se houver um banco de dados em execução, alguém pode ter um código com falha no sistema. Se alguém tiver acesso ao servidor, talvez tenha feito alguma coisa para infectá-lo. Os sites estão executando com diferentes permissões de arquivo para anular possíveis danos? Ou os sites praticamente compartilham todos os recursos? Outros usuários estão envolvidos e são capazes de executar scripts? Eles têm diferentes widgets e whatnots instalados? Os arquivos foram marcados com o tempo, então você pode voltar aos logs para tentar descobrir o que aconteceu?

Se os logs estiverem no mesmo servidor que foi comprometido, os logs também poderiam ter sido alterados.

No final, a melhor coisa a fazer é colocar o servidor offline e corrigi-lo reinstalando a partir de backups. Caso contrário, você não pode confiar totalmente nele. E se você tiver dados "pessoais" (senhas de usuários?), Eles precisam ser informados de que suas informações podem ter sido roubadas. Em seguida, inicie a configuração de algum tipo de auditoria no sistema e envie os arquivos de registro para um servidor secundário por meio de um canal seguro de comunicação, para que os registros não possam ser apagados por um intruso. E execute algum tipo de utilitário de verificação de arquivos como o Stealth em outro servidor para monitorar a integridade do arquivo e avisar sobre alterações.

Sem saber o que mais seu servidor executa, há pouca coisa que outras pessoas podem fazer para informar como ele foi comprometido.

Não há uma abordagem genérica - tudo é prático. Você normalmente precisaria ter logging extensivo configurado, de preferência não apenas do sistema que você está inspecionando, mas também de um IDS independente, que você arquiva periodicamente. Além disso, é necessária uma boa experiência com segurança de computador e análise forense, caso contrário, você não tem a menor chance.

Mas como hoje o Malware normalmente está fazendo infecções em massa, há boas chances de que o trabalho já tenha sido feito para você:

link

Obviously, attackers do not infect hundreds of web pages by hand, they use a script or a botnet to do the work for them. [...] One other such bot is known as GootKit. [...] We are unsure exactly how the control server obtained all of the FTP credentials, but most often these are stolen via keyloggers and information stealing malware installed on a website administrators PC.

Já vimos isso nos servidores do plesk 9.5, apesar dos patches de segurança do Parallel instalados a partir de fevereiro.

Basicamente, eles estão enviando para a página de login e entrando sem auth, indo direto para o gerenciador de arquivos WYSIWYG e acrescentando o código aos arquivos js. O Plesk está se recusando a reconhecer isso e a única opção é fazer com que o firewall pare e permita IPs específicos.

Você encontrará os POSTs no diretório httpsd_access log in plesks admin / log.

Um sed global removerá o código, pois felizmente todos começam com a mesma string.

Parece que suas senhas foram vazadas há algum tempo e agora estão sendo usadas para instalar scripts de trojan dropper. Veja a seguir isto e this para mais detalhes.

Após algumas semanas de horror perdendo clientes e sendo re-infectados, recebemos esta resposta do suporte técnico da Parallels:

Please note that all of the vulnerability issues reported over the Internet or our forums actually trace back to an old vulnerability in Plesk, which is fully described in the following KB article:

http://kb.parallels.com/113321

Article #114379 also mentions this information. Please thoroughly check article #113321 and the related articles in order to verify the issue's presence, install all the necessary microupdates and ensure that the server is protected via mass password reset:

http://kb.parallels.com/en/113424 http://kb.parallels.com/en/9294 http://kb.parallels.com/en/113391

O que é interessante, porém, com referência à primeira declaração é que no dia 15 de julho a Parallels trouxe outro patch de "segurança".

Eu gerencio um servidor Plesk 9.5.4 que foi infectado com o malware km0ae9gr6m /. FYI - no meu servidor, o código malicioso foi adicionado aos arquivos Javascript, PHP e HTML / HTM. Estou postando para que a comunidade saiba que eu estava usando o recurso de restrição de endereço IP do Plesk no momento da infecção. Para ser claro - dentro do painel de controle do Plesk, eu tinha negado acesso de login ao Plesk para todos os endereços IP, exceto dois (meu próprio estúdio, e o endereço IP do escritório de um dos meus clientes). Apesar dessa restrição, os arquivos de log mostram logins para o usuário admin a partir de endereços IP que não deveriam ter sido permitidos pelo firewall do Plesk. Desde então, implementei restrições de endereço idênticas na porta 8443 com tabelas de IP e, até o momento (aproximadamente 48 horas), não tive mais problemas. Com base na minha experiência, eu digo não confiar em sua segurança para as restrições de endereço IP do Plesk. Se alguém estiver interessado, eu ficaria feliz em compartilhar meus arquivos de log.

Se você precisar obter uma lista de arquivos afetados e tiver acesso SSH, poderá usar o seguinte: grep -rl km0ae9gr6m / var / www / vhosts /

Isto irá puxar uma lista de todos os arquivos em seu diretório vhosts contendo a assinatura de malware. Achei mais fácil editar os arquivos afetados com o gerenciador de arquivos do Plesk. No meu caso, todo o código malicioso foi anexado à parte inferior dos arquivos infectados.

Espero que mais informações venham a esclarecer como esse ataque foi capaz de contornar as restrições de login e endereço IP do Plesk.