Diskussion: 0-Day-Exploit für Site-Verwaltungswerkzeug Plesk im Umlauf

stefan1994

New Member
Ich hoffe ich darf jemanden aus einem anderen Forum hier Zitieren:

Ähnliches ist auch für die Linux-Version dieser Never-Ending-Fehlersammlung erhältlich und ist wie ein Kollege (leidvoll) bestätigen konnte funktionsfähig.
 
M

Marentis

Guest
Gut das ich Plesk nicht mehr im Einsatz habe, mir wird schlecht.
 

catwiesel

Registered User
Mal bitte genau lesen, es betrifft nur ältere Versionen. Jeder Admin sollte innerhalb kurzer Zeit seine Systeme wohl aktualisieren können.
Aber anscheinend laufen da noch etliche schon seit Jahren ohne Updates....

Bei Windows werden die Updates freiwillig gemacht und warum dann nicht auch bei Linux oder in dem Falle, Plesk? Da sind einige selber Schuld wenns dann mal soweit ist.
 
M

Marentis

Guest
Mal bitte genau lesen, es betrifft nur ältere Versionen. Jeder Admin sollte innerhalb kurzer Zeit seine Systeme wohl aktualisieren können.
Aber anscheinend laufen da noch etliche schon seit Jahren ohne Updates....
Wenn man genau liest, steht dort allerdings auch, dass einige Admins sagen, dass sie den neuesten Patchstand haben und es trotzdem zu Hacks kam.

Zumal 0day exploits - logischerweise - noch nicht gepacht sind. Vorausgesetzt, dass die Angaben stimmen.
 

Joe User

Zentrum der Macht
Es sind mindestens zwei Lücken vorhanden (eine ist Parallels seit über einem Monat bekannt, wurde aber wie üblich noch immer nicht gefixt), für die inzwischen mehrere Exploits im Umlauf sind. Betroffen sind offenbar alle derzeit gängigen Plesk-Versionen bis einschliesslich 11.0 und alle Plattformen (auch Linux).

Da zumindest eine der Lücken remote zur Codeausführung genutzt werden kann und beide zur lokalen Codeausführung, sind die betroffenen Systeme nicht mehr vertrauenswürdig und gehören komplett neu aufgesetzt.

Naja, die Admins die noch immer Plesk einsetzen, kennen das Prozedere ja schon zu Genüge und warten geduldig auf das nächste Scheunentor...
 

cheili

New Member
Na super! Und nun? Upgrade auf die 11-er?
Das Upgrade funktioniert ja nie im Leben! reibungslos. Also heißt das im Endeffekt, alles neu aufsetzen... :mad:
 

IDM-Service.de

Blog Benutzer
Ein Upgrade von der 10.x auf die 11.x hat ohne Probleme funktioniert und ist innerhalb von 10 Minuten über die Bühne gegangen!
 

Huschi

Moderator
Staff member
Betroffen sind offenbar alle derzeit gängigen Plesk-Versionen bis einschliesslich 11.0 und alle Plattformen (auch Linux).
Ich hab - denke ich - so ziemlich alles gelesen, was es aktuell zu dieser Angriffswelle zu lesen gibt. Aber nirgends war jemand mit Plesk 11 zu finden.
Hast Du dazu eine genauere Quelle?


Wer übrigens sein Plesk gegen diese Art von Angriffen - unabhängig von Parallels - abschotten will, braucht nur das Web-Frontend des Filemanager und den Cronmanager boykottieren. (Das nutzt eh nur selten jemand.)
Das geht durch entfernen (umbenennen) entsprechender Files. Meist reicht schon eins davon. Z.B. (gilt für Plesk 9 bis 11.):
/usr/local/psa/admin/plib/ui/client.domain.hosting.file-manager.edit.php
/usr/local/psa/admin/plib/ui/client.domain.hosting.crontab.task.php

huschi.
 

catwiesel

Registered User
Upgrade auf die 11-er?
Das Upgrade funktioniert ja nie im Leben! reibungslos.
Ich habe auch immer ein flaues Gefühl im Magen bei Updates von Plesk. Aber diesmal gings wirklich auf 10 Minuten und OHNE PROBLEME. Dies habe ich bei derzeit 5 Servern vollzogen, alle laufen noch :)
 

seraphim

New Member
Das mit den alten Versionen liegt wirklich daran dass Plesk sich regelmäßig bei Updates vollständig zerlegt und mitunter irgendwie das ganze System in den Tod gerissen hat...

Einer der Gründe warum ich von Plesk schon lange ab bin, die anderen würden glaub den Beitrag sprengen...
 

PapaBaer

Registered User
So ein Tool wie Plesk hat meiner Meinung nach eh nix offen im Internet zu suchen. Also entweder nen Reverse-Proxy davor, der noch einmal ein Passwort abfragt oder gleich auf localhost festnageln und dann per SSH-Tunnel zugreifen.

Aber das geht ja allein aus Plesk wieder nicht zusammen zu klicken ...
 

Huschi

Moderator
Staff member
<Moderation>
Die Diskussion geht um um den Exploit und seine Auswirkungen und möglich Lösungen.

Off-Topic ist:
- Ob man Plesk einsetzt oder nicht.
- Ob es Probleme beim Plesk-Update gibt oder nicht.

@Jeden der bisher hier Offtopic war: Bitte fühlt Euch wegen unnötigen Kommentar verwarnt. Denn diese Bemerkungen bringen hier niemanden weiter.
</Moderation>

huschi.
 

Joe User

Zentrum der Macht
Ich hab - denke ich - so ziemlich alles gelesen, was es aktuell zu dieser Angriffswelle zu lesen gibt. Aber nirgends war jemand mit Plesk 11 zu finden.
Hast Du dazu eine genauere Quelle?
Auch wenn sich Brian in seinem letzten Satz nur auf Berichte (angeblich) Betroffener bezieht, würde er es nicht erwähnen, wenn er nicht glauben würde, dass die Berichte stimmen könnten:
http://krebsonsecurity.com/2012/07/plesk-0day-for-sale-as-thousands-of-sites-hacked/
Ansonsten liegen auch mir derzeit keine verlässlicheren Quellen vor, weshalb ich auch "offenbar" schrieb.
 

Huschi

Moderator
Staff member
Ich denke Du unterliegst einem Übersetzungsfehler:
running the latest versions of the software
Der Plural "versions" weißt darauf hin dass es verschiedene aktuelle Release-Stände gibt.
Und wenn man seinem Link ins Parallels-Forum folgt, findet man in dem Thread keinen User der Plesk 11 erwähnt.

PS: Als Beleg:
Aktuelle Release-Stände von Plesk findet man bei der Vulnerability von Anfang des Jahres: http://kb.parallels.com/en/113321
In der Versions-Tabelle in der Spalte "Micro-Updates" sieht man, welche Versionen noch mit offiziellen Security-Updates versorgt worden sind.
Diese Versionen ergänzt mit 10.4 und 11.0 würde ich unter "latest versions" verstehen. (Wobei 8.6 jetzt wirklich übertrieben alt ist.)

huschi.
 

Joe User

Zentrum der Macht
Und wenn man jetzt die Posts 1, 11 und 12 in http://forum.parallels.com/showthread.php?t=260584 liest, kann man eins und eins zusammenzählen und muss zumindest die upgegradeten Plesk 11 Installationen und Plesk 11.0 ohne MU#1 als anfällig einstufen.


PS: Dass in dem Unterforum zu Plesk 9 kaum jemand ein gehacktes Plesk 11 meldet, dürfte selbsterklärend sein, insbesondere wenn man bedenkt, dass in den Parallels Foren schneller und umfangreicher zensiert^Wgelöscht wird als im *zensiert*.
 

Huschi

Moderator
Staff member
Joe, einfach mal direkt und in Klartext:
Hast Du einen Beleg, dass Plesk 11 ebenfalls von der aktuellen Situation betroffen ist oder nicht?

Ich hab nämlich keine Lust auf Deine "ich hab mich zwar geirrt aber gebe es nicht zu"-Postings und werde jetzt nicht Deine an den Haaren herbei gezogenen Argumenten in ewigen Troll-ähnlichen Beiträgen auseinander nehmen.
(Mit ein wenig Verstand kann das eh jeder.)


huschi.
 

Joe User

Zentrum der Macht
Huschi, selbst wenn ich mich irren sollte, was ich nicht ausschliessen möchte und weshalb ich auch ausschliesslich Vermutungen und keine Behauptungen geäussert habe:
Hast Du einen Beleg dafür, dass Plesk 11.0 nicht betroffen ist? Falls nicht, solltest Du Dich mit etwaigen Unterstellungen ala Trollen lieber etwas zurückhalten.
 
Top