Plesk-hackers slaan toe bij diverse klanten Hostnet
Hackers hebben in de afgelopen weken op diverse servers van Hostnet ingebroken via een lek in beheertool Plesk. Hierbij zijn inloggegevens van klanten buitgemaakt. Het hostingbedrijf roept de getroffen klanten op hun wachtwoorden te wijzigen.
De aanvallers zijn de servers binnengekomen via een ernstig lek in Plesk, een beheertool voor servers die het mogelijk maakt om een domein via een webinterface te beheren. Het is niet bekend bij hoeveel servers van Hostnet de hackers erin zijn geslaagd om inloggevens te bemachtigen en hoeveel klanten dit dan treft. Naar eigen zeggen heeft Hostnet meer dan 165.000 klanten. Hostnet heeft de klanten waarvan het bedrijf weet dat ze getroffen zijn, persoonlijk geïnformeerd en vervolgens de andere klanten op de hoogte gebracht.
Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.
"Additionele controle van de desbetreffende systemen gaf op dat moment geen aanleiding om aan te nemen dat het lek actief was misbruikt", aldus Steven Mohamedajoeb, manager operations bij Hostnet. "In de nacht van 4 op 5 maart zagen we echter ineens afwijkend gedrag op enkele servers, omdat deze Facebook begonnen aan te vallen."
Aanvullend onderzoek van het bedrijf wees toen uit dat de aanvallers al op diverse servers hadden toegeslagen. "We hebben zo'n 2000 servers, waarvan het leeuwendeel Plesk draait. Gelukkig blijkt het meerendeel niet vatbaar, omdat de gebruikte Plesk-versie niet vatbaar was of omdat de api-toegang tot Plesk was gelimiteerd."
Mohamedajoeb geeft toe dat nog niet precies duidelijk is hoeveel servers er ten prooi zijn gevallen aan de aanvallers. "Niet elke server is aangeraakt, het lijkt een beetje willekeur. De aanvalspatronen wijzen erop dat ze gebruik hebben gemaakt van geautomatiseerde scripts en dit grondig hadden voorbereid."
Omdat de aanvallers een lek in de api van Plesk hebben misbruikt, hebben ze zich bovendien eenvoudig toegang kunnen verschaffen tot inloggegevens van andere domeinen als ze eenmaal een kwetsbaar domein hadden gevonden. "Ons onderzoek is nog niet afgerond, maar het lijkt erop dat de aanvallers via een kwetsbaar domein door het gebruik van de Plesk-api eenvoudig in staat waren om ook de gegevens van andere domeinen op die server in handen te krijgen."
De aanvallers hebben in de afgelopen weken ongestoord hun gang kunnen gaan. De totale omvang van de aanvalsoperatie is dan ook nog niet te overzien. Duidelijk is al wel dat zowel in Nederland als wereldwijd diverse hostingbedrijven slachtoffer zijn geworden. Eerder deze week bleek al dat ook klanten van Proserve gehackt waren. Ook bij dit hostingbedrijf werden gecompromitteerde servers ingezet om Facebook aan te vallen, wat de aanvallers deze week ook kortstondig lijkt te zijn gelukt.
Reacties (42)
Ik leest dat nergens, misschien lees ik er overheen.
Wellicht niet bijzonder oud, maar dus al wel gepatched.Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.
- Je bent gehacked voordat een patch uit komt, prima. Dat kan
- Je hoort van je leverancier dat er een kritieke update is
- Je installeert deze, maar laat na om te checken of je al gehacked bent.
Het niet nagaan of je al gehacked bent, wat een erg eenvoudige controle is middels de Plesk webserver logs, is gewoon dom. Hierdoor hebben klanten onnodig lang het risico gelopen dat hun wachtwoorden elders gebruikt zijn.
Niet als je je logs naar een losse afgeschermde server stuurt via bijvoorbeeld syslog. Tenzij je syslog daemon op die server (tegelijkertijd) een gat heeft (maar dat is onwaarschijnlijk) kan je altijd je logs inzien.Want webserver logs zijn niet te manipuleren?
Naar mijn idee kan je bij zoiets als Plesk de authenticatie beter door Apache laten doen. Zet heel plesk in een virtual host met bijvoorbeeld Basic authentication en dan zit Apache als een wrapper om Plesk heen. Apache heeft een beter security trackrecord dan Plesk en gaat er ook een stuk serieuzer mee om (mede omdat partijen zoals RedHat, Google, etc zich ook allemaal bemoeien met de ontwikkeling van Apache).
Hetzelfde heb ik bijvoorbeeld gedaan met Spacewalk. Het risico bij zulk soort applicaties is gewoon te groot om de beveiliging enkel door de applicatie zelf te laten doen.
Dus heb jij een jaar lang niet op een updateknopje geklikt en email-updates voor updates etc uit staan ....... heb je gewoon pech
Het mocht van mij dan wel iets explicieter vermeld worden bij de hosters 
'Hoewel het hostingbedrijf voor diverse klanten de beschikbare updates heeft geïnstalleerd, lijkt het erop dat niet alle klanten die geen serviceovereenkomst met het bedrijf hebben dat zelf hebben gedaan.'
Parallels heeft voor alle versies van 7.6 t/m 10.3 een patch beschikbaar gesteld (maar pas gecommuniceerd naar een select aantal klanten toen het lek actief misbruikt werd en het dus al te laat was).
Zie ook http://kb.parallels.com/en/113321
Met directadmin zie ik op een vps heel simpel een update button, die druk je en hup je hebt binnen een paar minuten de laatste versie.
Het is hier dus gewoon gebrek aan patching en updates.
http://kb.parallels.com/en/113321
Erg karige info van Parallels zelf. Ook elders op het net wordt er maar lauwtjes gereageerd op deze security issue. Nochtans is dit wel een groot security probleem dat goed aangepakt dient te worden.Voor bedrijven die nu eindelijk denken "hmm, laat ik ook maar eens kijken of wij die versie draaien", hier een linkje met meer info over de vulnerability en patches:
http://kb.parallels.com/en/113321
Deze quasi volledig geautomatiseerde hack heeft wereldwijd gescand op Plesk servers en via agent.php via SQL Injection alle usernames en passwords (in clear text als je Plesk versie ouder is dan 10.x) ontvreemd.
Fase 2 is later van start gegaan waarbij geautomatiseerd ingelogd werd met de ontvreemde login gegevens en waarbij men bestanden aanpast.
Even een samenraapsel van verschillende fora, met manieren om te achterhalen of je Plesk server slachtoffer geworden is van deze exploit:
cp -R /usr/local/psa/admin/logs /root/plesk_logs
cd /root/plesk_logs/logs
gzip -d httpsd_access_log*.gz
grep 'agent.php' ./*
Output ziet er zo uit:
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [26/Feb/2012:21:29:16 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [27/Feb/2012:18:23:04 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 1744 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [28/Feb/2012:10:40:52 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [28/Feb/2012:12:48:47 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-"
109.206.185.155 is één van de bekende IP's die bij veel servers is terugkomen, ook bij de plesk server van mijn bedrijf. Elke regel waar een extern ip in voorkomt en waarbij het cijfer achteraan de 200 boven de 200 is, is een geslaagde SQL injection waarbij dus ettelijke bytes aan usernames en passwords zijn onttrokken van de MySQL DB.
Onmiddellijk updaten en wachtwoord reset doorvoeren: http://kb.parallels.com/en/113391
Zeker ook scannen op wijziging van bestanden in de folders van de verschillende subscriptions.
find /var/www/vhosts/ -name \*.js -exec grep -li 'function init(){var f=navigator.userAgent;var a=false;if' {} \;
find /var/www/vhosts/ -name \*.htaccess -exec grep -li 'AddHandler application/x-httpd-php .gif .jpg .jpeg .png' {} \;
ps aux |grep ".pl"
Deze commando's controleren de betreffende .js en .htaccess files op malafide code van de hacker. Laatste commando geeft een lijst van lopende perl scripts.
Op onze servers hebben ze ook geaudit, maar hebben ze geen gegevens buitgemaakt omdat we Plesk 10.4.4 draaien en agent.php van de laatste versie niet meer vatbaar is voor sql injection.
Toch is het aangeraden dit na te kijken, omdat Plesk updates af en toe de mist ingaan en bestaande bestanden niet altijd overschrijven met de nieuwste versie. Een up to date Plesk lijkt veilig, maar met een agent.php met een data modified van april 2011 is dat beslist niet het geval!
Meer info:
http://www.webhostingtalk...te-exploit-plesk-api.html
http://forum.parallels.co...d.php?p=617115#post617115
http://www.atomicorp.com/forum/viewtopic.php?f=1&t=5759
http://kb.parallels.com/en/113391
Plesk Mass Password Reset Script
APPLIES TO:
Plesk 10.x for Linux
Plesk 9.x for Linux/Unix
Plesk 8.x for Linux/Unix
Plesk 10.x for Windows
Plesk 9.x for Windows
Plesk 8.x for Windows
Parallels Business Automation - Standard 4.1
Parallels Business Automation - Standard 4.0
Release Notes
The Mass Password Reset Script was designed to allow Parallels Plesk Panel (PP) owners to reset passwords of all PP accounts in an automated way.
ls -lah /usr/local/psa/admin/plib/api-rpc | grep " Agent.php$"
Let er dus op dat die up-2-date is.
tja, wat doen je er aan, zeggen ze dan. ik vraag me in zo een geval af: houden die providers niet bij dat er meerdere gevallen zijn geweest van inbraak door een lek in plesk en nemen hier hun voorzorgsmaatregelen in? dan is de vraag natuurlijk wel: wat kán je er tegen doen? zo snel mogelijk bijwerken dus...
[Reactie gewijzigd door robobeat op vrijdag 9 maart 2012 11:33]
en daardoor kun je wachten tot zo iets als dit gebeurt.
Goed van paralels dat ze het zo snel mogelijk dicht timmeren, beetje jammer van bedrijven dat ze dit soort dingen niet snel controleren en de servers down halen en het naar een veilige server overhevelen.
Ik heb denk ik liever een paar minuten downtime als dat ik klanten vaarwel mag zeggen omdat ze geen vertrouwen meer in het product hebben
Blijkbaar zitten er toch wel wat gaten in dat pakket.
Ik snap dat het niet in 1 keer gaat maar beetje vaart erachter zetten lijkt me geen overbodige luxe tegenwoordig
Ik ben zelf geen fan van Plesk, het is te uitgebreid en sloom. Geef mij maar DirectAdmin, simpel.
Direct Plesk geüpdatet maar ik heb geen flauw idee of dat ik al gehackt ben?
Ik zag ergens staan dit te checken in de logs dus dat zal ik vandaag maar eens doen dan.
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
