Webseiten-Infektion mit gestohlenen Plesk-Passwörtern

Oder auch: The Sicherheitslücke strikes back. Im März machten Meldungen die Runde, dass eine Lücke im Plesk-Admin dazu genutzt werden konnte, um administrativen Zugriff auf das System zu erhalten. Wie sich jetzt zeigt hätte Plesk den Hinweis, doch man nach dem Einspielen des Patches alle Passwörter zu resetten, wesentlich plakativer auf die Seite schreiben sollen.

Wieso? Während wir uns vor kurzem noch darüber kaputt gelacht haben, dass LinkedIn Passwörter mit SHA1 ohne Salt verschlüsselt geht Plesk noch einen Schritt weiter, um es dem Angreifer möglichst einfach zu machen: Sie verschlüsseln die Passwörter erst gar nicht (bzw. erst seit Version 11). Wer also gedacht hat, dass das Problem mit dem Einspielen des Patches aus der Welt sei, weil eventuell gestohlene Passwörter ja erst geknackt werden müssten: Think again.
Besitzer von Plesk bis zur Version 10 können zur Beweisführung folgendes machen:

cat /etc/psa/.psa.shadow

präsentiert das Root-Passwort für die MySQL-Datenbank (das auch gleichzeitig das Admin-Passwort für Plesk ist) im Klartext. Und das ist nicht einmal ein Geheimnis, in der Plesk-KB wird genau das als Lösung beschrieben, sollte man mal sein Passwort vergessen haben!
Und auch sämtliche Passwörter für das Admin-Panel stehen unverschlüsselt in der Datenbank. Wer also einen Blick in psaaccounts wirft sollte sicherstellen, dass er sitzt.

Passwörter, die durch die Lücke im März gewonnen wurden, werden derzeit aktiv genutzt, um Webseiten zu kompromitieren. Aktuell wohl überall mit dem gleichen Schadcode, der in php, asp(x), html und js-Dateien eingefügt wird und bislang noch ziemlich eindeutig daran zu erkennen ist, dass er zwischen den Kommentaren /*km0ae9gr6m*/ und /*qhk6sa6g1c*/ eingeschlossen ist.
Da der Angriff über den Plesk-Admin stattfindet zeigen sich in den Logfiles der betroffenen Webauftritte keinerlei Auffälligkeiten. Die findet man aber in den Plesk-Access-Logs unter /usr/local/psa/admin/logs/ bzw. im Activity-Log, das man sich über die Plesk-Oberfläche laden kann. Aus letzterem geht auch hervor, mit welchem Benutzernamen zugegriffen wurde. Anders als bei UnmaskParasites aber vermutet gehe ich von automatisierten Angriffen aus, die Einträge im Log sind viel zu dicht beieinander als das da jemand manuell klicken würde.

Abhilfe

Nach meinem aktuellen Kentnisstand wird außer dem Einschleußen des Codes nichts weiter mit dem Server gemacht – obwohl man quasi alle Möglichkeiten hätte.

  • Zunächst gilt es also, sofern noch nicht geschehen, den Patch einzuspielen.
  • Danach durchsucht man den Server nach infizierten Dateien und säubert diese. Unter Linux kann man dazu grep und sed benutzen. Unter Windows wird man um eine Analyse des Plesk-Access-Logs nicht herumkommen.
  • Abschließend setzt man alle Passwörter zurück. Von Plesk gibt es ein entsprechendes Script.

Zusätzlich kann man noch folgendes machen:

  • Wer die Netze, von denen Zugriffe auf den Plesk-Admin erfolgen, klar definieren kann, kann den Zugriff auf dem Admin entsprechend einschränken: EinstellungenAdministratorzugriff einschränken.
  • Den Plesk-Admin mit einem serverseitigen Passwortschutz versehen. Eine entsprechende Anleitung findet sich hier.

Ich bin Web Developer und arbeite als Lead Developer bei WIBROS. Ich liebe das Internet, Baseball, Softball, Bier und die Farbe orange. Ich hab früher mal zu viel Kaffee getrunken.

Comments (3) Write a comment

  1. Hallo,

    super Anleitung!

    Auch meine Server wurden am WE kompromittiert. Ich hatte bereits das Masterpasswort geändert und alle modifizierten Dateien bereinigt. Erst gestern kam ich auf die Idee mal auf den entsprechenden News Seiten zu schauen und siehe da… Der in der Abhilfe genannte Befehl kann bei mir nichts mehr finden! Jedoch werden einige Seiten auf meinen Server andauernd von Google gesperrt. Nach der Sperrung lasse ich Google die Seite neu prüfen und alles ist wieder gut… Leider nur bis zum nä. Tag. Es werden auch keine Seiten in der Google Warnmeldung angezeigt.

    Was mich jedoch mehr interessiert, es wurde für das Login im CP ein Benutzer genommen, den ich nicht kenne?!?! Ich kenne nur den User “admin”… Wo kann man sich alle Plesk User anzeigen lassen? Unter Benutzer in Plesk selber stehen keine weiteren?!?!

    Beste Grüße
    Marco

    Reply

  2. Jede Domain, die du angelegt hast, hat einen Benutzer, der nicht nur Zugriff via FTP hat sondern auch auf das Control-Panel.

    Außerdem hat auch jeder E-Mail-Account Zugriff auf das Control-Panel, durch diese dürfte aber kein Angriffsszenario entstehen, da die Rechte sehr eingeschränkt sind.

    Reply

  3. Hallo Matthias,

    besten Dank für die Info!

    Mit war bekannt das es für jede Domain einen FTP-User gibt, jedoch wusste ich nicht, dass sich diese auch auf dem CP einloggen können!

    Viele Grüße
    Marco

    Reply

Leave a Reply to Marco Cancel reply

Required fields are marked *.