7 Ekim 2012 Pazar

Plesk için Kritik Güvenlik Açığı

Merhabalar. Haziran 2012'de duyurusu yapılan ve benimde geçenlerde başıma gelen Plesk panellerin tüm sürümlerinde olan bir güvenlik açığından bahsedicez.
Paralells tarafından bu kritik açığın kapatılması için gerekli güncelleme dosyaları yayınlandı. Ayrıntılı bilgiyi buradan http://kb.parallels.com/en/113321 inceleyebilirsiniz.
Bu açık ile özellikle .js dosyalarına
/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+
şeklinde devam eden şifreli bir kod bulaşıyor.
Eğer bilgisayarınızda güncel bir antivirüs programı kullanmamakta ve sunucunuz üzerinde gerekli güvenlik önlemleri ile birlikte güncelleme işlemi gerçekleştirilmedi ise muhtemel olarak sitenize girişte bu tip virüs uyarılarıları ile karşılaşmanız kaçınılmaz olacaktır.



Plesk Kontrol Panel kullanıyorsanız acil olarak güncelleme yapmanız gerekiyor. Bu güncellemeyi yapmazsanız sunucunuzda büyük bir güvenlik açığı oluşacaktır.
Güvenlik açığı genel itibariyle agent.php dosyasından kaynaklanmaktadır.
Bu virüs açığından etkilenen Plesk sürümleri:
Plesk 7.5.x Reloaded
Plesk 7.1.x Reloaded
Plesk 7.0.x
Parallels Plesk Panel 9.x for Linux/Unix
Parallels Plesk Panel 8.x for Linux/Unix
Plesk 7.x for Windows
Parallels Plesk Panel 9.x for Windows
Parallels Plesk Panel 8.x for Windows
Parallels Plesk Panel 10.3 for Windows
Parallels Plesk Panel 10.2 for Windows
Parallels Plesk Panel 10.1 for Windows
Parallels Plesk Panel 10.0.x for Windows
Parallels Plesk Panel 10.3 for Linux/Unix
Parallels Plesk Panel 10.2 for Linux/Unix
Parallels Plesk Panel 10.1 for Linux/Unix
Parallels Plesk Panel 10.0.x for Linux/Unix

Windows Plesk Plesk 8.1.x ile Plesk 10.3.x sürümleri güncelleme

1. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_deployer.zip
Daha sonra komut satırında aşağıdaki komutu çalıştırın
“%plesk_bin%\php” -d auto_prepend_file=””plesk_remote_vulnerability_fix_deployer.php

2. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_mass_deployer.zip
Komut satırında aşağıdaki bat dosyasını çalıştırın
plesk_remote_vulnerability_fix_mass_deployer.bat
Ayrıca plesk panel ile ilgili sunucu düzeltmelerini de uygulamak isterseniz, MU-win.zip dosyası içerisindeki ilgili versiyonunuzdaki dosyalar ile güncelleyiniz.
http://kb.parallels.com/Attachments/17178/Attachments/MU-win.zip

Aşağıda bu dosyalar ile ilgili plesk sürümüne göre path’lar belirtilmiştir:
Plesk 8.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.4.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.6.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.2.0 – 9.2.3
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNowForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.5.1 – Plesk 9.5.5
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNowForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.0.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php

Linux Plesk Plesk 8.1, 8.2, 8.3, 8.4, 9.0, 9.2.x, 9.3, 10.0.x, 10.1, 10.2 sürümleri için özel yama güncellemesi

Linux Sunucularda etkilenen dosyalar:
/usr/local/psa/admin/htdocs/enterprise/control/agent.php/usr/local/psa/admin/plib/api-rpc/Agent.php
Sunucunuza ssh üzerinden login olmanızın ardından plesk_remote_vulnerability_fix_deployer olarak bir klasör oluşturun
mkdir plesk_remote_vulnerability_fix_deployer
Oluşturulan klasör içerisine girelim
cd plesk_remote_vulnerability_fix_deployer
İlgili yama dosyasını sunucuya indirip arşivden çıkarın
wget http://kb.parallels.com/Attachments/18827/Attachments/plesk_remote_vulnerability_fix_deployer.tar.gz
tar -xzf plesk_remote_vulnerability_fix_deployer.tar.gz
Son işlem olarak aşağıdaki komutu dizin içerisinde çalıştırın
/usr/local/psa/admin/bin/php plesk_remote_vulnerability_fix_deployer.php


Dediğim gibi geçenlerde benimde başıma gelmişti ve bir malware analizi yapıp temizleme işlemi gerçekleştirdik. Birkaç gün içinde bu tür durumlarda zararlı kodlar dosyalarda toplu halde nasıl temizlenir konusunu paylaşıcaz.
Son olarak da toparlamak gerekirse sizinde bu durum başınıza gelmemesi için anlatılan gerekli güncellemeleri yapınız. Ve önerilerimiz:
1- .js uzantılı dosyalarınızı kontrol ederek, aşağıdakine benzer tuhaf kodlar var ise siliniz.(/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+” şeklinde devam eden.)
2- index.html, default.asp, index.asp gibi anasayfa kodlarınızı aynı şekilde kontrol ediniz.
3- Bu işlemlerin ardından sitenizde zararlı kod olmadığından emin olunuz.
4- Daha sonra FTP, Panel ve Mail şifrelerinizi mutlaka değiştiriniz.
5- Kesinlikle crackli FTP programı kullanmayınız önerimiz sadece Filezilla kullanmanızdır.
6- FTP programlarına sitelerinizin FTP bilgilerini kayıt etmeyiniz, her seferinde bilgileri tekrar girerek FTP’ ye bağlantı sağlayınız.
7- Google tarafından siteniz zararlı olarak gösterilmiş ise Google Webmaster Araçları kısmından kısmından tekrar değerlendirilmesini talep ediniz.
8- Tüm bu işlemlerden sonra FTP içeriğinin tamamen indirilerek güncel bir antivirüs programıyla taranıp virüs olmadığı anlaşılarak tekrar FTP’ye atılmasıdır.

Şimdi de sunucuya bulaşan bu ve bunun gibi virüsleri nasıl temizleyeceğimiz konusunda diğer makalemize giriş yapabilirsiniz: http://www.ismailsaygili.com.tr/2012/10/sunucuya-bulasan-javascript-virusu.html


Malwaresiz temiz günler diliyorum :)

Hiç yorum yok:

Yorum Gönder