Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 21.406 •

Hackers hebben in de afgelopen weken op diverse servers van Hostnet ingebroken via een lek in beheertool Plesk. Hierbij zijn inloggegevens van klanten buitgemaakt. Het hostingbedrijf roept de getroffen klanten op hun wachtwoorden te wijzigen.

De aanvallers zijn de servers binnengekomen via een ernstig lek in Plesk, een beheertool voor servers die het mogelijk maakt om een domein via een webinterface te beheren. Het is niet bekend bij hoeveel servers van Hostnet de hackers erin zijn geslaagd om inloggevens te bemachtigen en hoeveel klanten dit dan treft. Naar eigen zeggen heeft Hostnet meer dan 165.000 klanten. Hostnet heeft de klanten waarvan het bedrijf weet dat ze getroffen zijn, persoonlijk geïnformeerd en vervolgens de andere klanten op de hoogte gebracht.

Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.

"Additionele controle van de desbetreffende systemen gaf op dat moment geen aanleiding om aan te nemen dat het lek actief was misbruikt", aldus Steven Mohamedajoeb, manager operations bij Hostnet. "In de nacht van 4 op 5 maart zagen we echter ineens afwijkend gedrag op enkele servers, omdat deze Facebook begonnen aan te vallen."

Aanvullend onderzoek van het bedrijf wees toen uit dat de aanvallers al op diverse servers hadden toegeslagen. "We hebben zo'n 2000 servers, waarvan het leeuwendeel Plesk draait. Gelukkig blijkt het meerendeel niet vatbaar, omdat de gebruikte Plesk-versie niet vatbaar was of omdat de api-toegang tot Plesk was gelimiteerd."

Mohamedajoeb geeft toe dat nog niet precies duidelijk is hoeveel servers er ten prooi zijn gevallen aan de aanvallers. "Niet elke server is aangeraakt, het lijkt een beetje willekeur. De aanvalspatronen wijzen erop dat ze gebruik hebben gemaakt van geautomatiseerde scripts en dit grondig hadden voorbereid."

Omdat de aanvallers een lek in de api van Plesk hebben misbruikt, hebben ze zich bovendien eenvoudig toegang kunnen verschaffen tot inloggegevens van andere domeinen als ze eenmaal een kwetsbaar domein hadden gevonden. "Ons onderzoek is nog niet afgerond, maar het lijkt erop dat de aanvallers via een kwetsbaar domein door het gebruik van de Plesk-api eenvoudig in staat waren om ook de gegevens van andere domeinen op die server in handen te krijgen."

De aanvallers hebben in de afgelopen weken ongestoord hun gang kunnen gaan. De totale omvang van de aanvalsoperatie is dan ook nog niet te overzien. Duidelijk is al wel dat zowel in Nederland als wereldwijd diverse hostingbedrijven slachtoffer zijn geworden. Eerder deze week bleek al dat ook klanten van Proserve gehackt waren. Ook bij dit hostingbedrijf werden gecompromitteerde servers ingezet om Facebook aan te vallen, wat de aanvallers deze week ook kortstondig lijkt te zijn gelukt.

Reacties (42)

Was het in bug/lek in de laatste versie van plesk, of waren de beheer(plesk) tools niet up-to-date?
Ik leest dat nergens, misschien lees ik er overheen.
De derde alinea van het artikel geeft aan dat het om een oude versie van Plesk gaat:
Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.
Wellicht niet bijzonder oud, maar dus al wel gepatched.
Oh inderdaad, tja is zo'n hoster dan wat te verwijten is de vraag.
Dat is het wel degelijk. Als de servers eind Januari al gehacked zijn is het droevig:

- Je bent gehacked voordat een patch uit komt, prima. Dat kan
- Je hoort van je leverancier dat er een kritieke update is
- Je installeert deze, maar laat na om te checken of je al gehacked bent.

Het niet nagaan of je al gehacked bent, wat een erg eenvoudige controle is middels de Plesk webserver logs, is gewoon dom. Hierdoor hebben klanten onnodig lang het risico gelopen dat hun wachtwoorden elders gebruikt zijn.
Want webserver logs zijn niet te manipuleren?
precies mijn gedachten. Een beetje hacker zorgt dat de logs niks vertonen van zijn acties. Dus het achterhalen wordt dan een stuk lastiger.
Want webserver logs zijn niet te manipuleren?
Niet als je je logs naar een losse afgeschermde server stuurt via bijvoorbeeld syslog. Tenzij je syslog daemon op die server (tegelijkertijd) een gat heeft (maar dat is onwaarschijnlijk) kan je altijd je logs inzien.

Naar mijn idee kan je bij zoiets als Plesk de authenticatie beter door Apache laten doen. Zet heel plesk in een virtual host met bijvoorbeeld Basic authentication en dan zit Apache als een wrapper om Plesk heen. Apache heeft een beter security trackrecord dan Plesk en gaat er ook een stuk serieuzer mee om (mede omdat partijen zoals RedHat, Google, etc zich ook allemaal bemoeien met de ontwikkeling van Apache).

Hetzelfde heb ik bijvoorbeeld gedaan met Spacewalk. Het risico bij zulk soort applicaties is gewoon te groot om de beveiliging enkel door de applicatie zelf te laten doen.
Er was een lek in een versie van Plesk, die al verholpen is. Bij Hostnet en Proserve ging het om versies die niet waren geupdate en dus het lek bevatte, waar bij Proserve het ging om servers in beheer van de klanten. Hostnet had dit zelf in beheer.
Weet je dit 100% zeker of denk je dat?
Ik denk dat hij dat denkt aangezien Hostnet ook VPS'en aanbied en van het unmanaged gedeelte betekent dit ook echt unmanaged! (weet ik uit ervaring)

Dus heb jij een jaar lang niet op een updateknopje geklikt en email-updates voor updates etc uit staan ....... heb je gewoon pech ;)
Dat is niet helemaal correct aangezien Hostnet ook veel unmanaged VPS's aanbied en hier ben je volledig zelf verantwoordelijk voor de management, patchmanagement etc |:( Het mocht van mij dan wel iets explicieter vermeld worden bij de hosters :)
nieuws: Hackers maken wachtwoorden buit bij Proserve via Plesk-lek

'Hoewel het hostingbedrijf voor diverse klanten de beschikbare updates heeft geÔnstalleerd, lijkt het erop dat niet alle klanten die geen serviceovereenkomst met het bedrijf hebben dat zelf hebben gedaan.'
Enkel Plesk versie 10.4 was niet vatbaar. Alle andere versies vanaf 7.6 wel (tenzij je de update geÔnstalleerd hebt).
Parallels heeft voor alle versies van 7.6 t/m 10.3 een patch beschikbaar gesteld (maar pas gecommuniceerd naar een select aantal klanten toen het lek actief misbruikt werd en het dus al te laat was).

Zie ook http://kb.parallels.com/en/113321
Tja zal niet goed voor hun naam zijn en de vraag is of er meer lekken komen in plesk.

Met directadmin zie ik op een vps heel simpel een update button, die druk je en hup je hebt binnen een paar minuten de laatste versie.
Dat is met Plesk niet anders. Plesk heeft zelfs een auto-update feature alla Windows Updates. De laatste versie van Plesk was ook niet lek.

Het is hier dus gewoon gebrek aan patching en updates.
Of je hebt hup het hele systeem omzeep geholpen. Patchmanagement is meer dan op een update knop drukken...
Voor bedrijven die nu eindelijk denken "hmm, laat ik ook maar eens kijken of wij die versie draaien", hier een linkje met meer info over de vulnerability en patches:
http://kb.parallels.com/en/113321
Voor bedrijven die nu eindelijk denken "hmm, laat ik ook maar eens kijken of wij die versie draaien", hier een linkje met meer info over de vulnerability en patches:
http://kb.parallels.com/en/113321
Erg karige info van Parallels zelf. Ook elders op het net wordt er maar lauwtjes gereageerd op deze security issue. Nochtans is dit wel een groot security probleem dat goed aangepakt dient te worden.

Deze quasi volledig geautomatiseerde hack heeft wereldwijd gescand op Plesk servers en via agent.php via SQL Injection alle usernames en passwords (in clear text als je Plesk versie ouder is dan 10.x) ontvreemd.

Fase 2 is later van start gegaan waarbij geautomatiseerd ingelogd werd met de ontvreemde login gegevens en waarbij men bestanden aanpast.

Even een samenraapsel van verschillende fora, met manieren om te achterhalen of je Plesk server slachtoffer geworden is van deze exploit:

cp -R /usr/local/psa/admin/logs /root/plesk_logs
cd /root/plesk_logs/logs
gzip -d httpsd_access_log*.gz
grep 'agent.php' ./*


Output ziet er zo uit:
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [26/Feb/2012:21:29:16 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [27/Feb/2012:18:23:04 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 1744 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [28/Feb/2012:10:40:52 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [28/Feb/2012:12:48:47 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-"

109.206.185.155 is ťťn van de bekende IP's die bij veel servers is terugkomen, ook bij de plesk server van mijn bedrijf. Elke regel waar een extern ip in voorkomt en waarbij het cijfer achteraan de 200 boven de 200 is, is een geslaagde SQL injection waarbij dus ettelijke bytes aan usernames en passwords zijn onttrokken van de MySQL DB.

Onmiddellijk updaten en wachtwoord reset doorvoeren: http://kb.parallels.com/en/113391

Zeker ook scannen op wijziging van bestanden in de folders van de verschillende subscriptions.

find /var/www/vhosts/ -name \*.js -exec grep -li 'function init(){var f=navigator.userAgent;var a=false;if' {} \;

find /var/www/vhosts/ -name \*.htaccess -exec grep -li 'AddHandler application/x-httpd-php .gif .jpg .jpeg .png' {} \;

ps aux |grep ".pl"


Deze commando's controleren de betreffende .js en .htaccess files op malafide code van de hacker. Laatste commando geeft een lijst van lopende perl scripts.

Op onze servers hebben ze ook geaudit, maar hebben ze geen gegevens buitgemaakt omdat we Plesk 10.4.4 draaien en agent.php van de laatste versie niet meer vatbaar is voor sql injection.
Toch is het aangeraden dit na te kijken, omdat Plesk updates af en toe de mist ingaan en bestaande bestanden niet altijd overschrijven met de nieuwste versie. Een up to date Plesk lijkt veilig, maar met een agent.php met een data modified van april 2011 is dat beslist niet het geval!

Meer info:
http://www.webhostingtalk...te-exploit-plesk-api.html
http://forum.parallels.co...d.php?p=617115#post617115
http://www.atomicorp.com/forum/viewtopic.php?f=1&t=5759
Nog een toevoeging op de post, hierbij een link van Plesk om het wachtwoord te resetten voor de zekerheid, omdat je maar nooit weet of er wachtwoorden zijn gestolen en deze ook daadwerkelijk zijn gerest:

http://kb.parallels.com/en/113391

Plesk Mass Password Reset Script
APPLIES TO:
Plesk 10.x for Linux
Plesk 9.x for Linux/Unix
Plesk 8.x for Linux/Unix
Plesk 10.x for Windows
Plesk 9.x for Windows
Plesk 8.x for Windows
Parallels Business Automation - Standard 4.1
Parallels Business Automation - Standard 4.0

Release Notes
The Mass Password Reset Script was designed to allow Parallels Plesk Panel (PP) owners to reset passwords of all PP accounts in an automated way.
Het checken van de laatste wijziging van de boosdoener (Agent.php) kan op de meeste plesk installaties met de volgende regel:

ls -lah /usr/local/psa/admin/plib/api-rpc | grep " Agent.php$"

Let er dus op dat die up-2-date is.
ik had al een licht deja vu gevoel bij het lezen van dit bericht, maar het blijkt dus om een andere provider te gaan.

tja, wat doen je er aan, zeggen ze dan. ik vraag me in zo een geval af: houden die providers niet bij dat er meerdere gevallen zijn geweest van inbraak door een lek in plesk en nemen hier hun voorzorgsmaatregelen in? dan is de vraag natuurlijk wel: wat kŠn je er tegen doen? zo snel mogelijk bijwerken dus...

[Reactie gewijzigd door robobeat op 9 maart 2012 11:33]

Als je nu plesk bijwerkt ben je vaak te laat. De initiele hack vond in dit geval eind januari plaats. Zelf heb ik bij Strato een hack op 3 februari gezien. De gedropte malware en/of gestolen gegevens worden nu pas uitgebuit.
ja, dat is ook zo. beetje achteraf gedoe dus. Ik hoop dan toch wel, voor de provider en zeker voor zijn klanten, dat ze wel zo snel mogelijk dit omgooien. alsnog blijven zitten met dezelfde versie is gewoon dom.
Welke versie van Plesk gaat het hierom en is het al dmv een plesk update verholpen ?
Alle versies behalve de laatste (10.4)
Nooit echt groot fan geweest van plesk omdat het te groot en gecompliceerd is geworden,
en daardoor kun je wachten tot zo iets als dit gebeurt.

Goed van paralels dat ze het zo snel mogelijk dicht timmeren, beetje jammer van bedrijven dat ze dit soort dingen niet snel controleren en de servers down halen en het naar een veilige server overhevelen.

Ik heb denk ik liever een paar minuten downtime als dat ik klanten vaarwel mag zeggen omdat ze geen vertrouwen meer in het product hebben
Parallels heeft dit in september 2011 gefixt, maar niemand verteld dat het een security update betrof. Ook zijn de microupdates erg laat uitgegeven of door een bug in de autoupdater nooit geinstalleerd.
Toch wel apart. Ik kwam een week of 2 geleden een advertentie tegen op Silkroad waar een hacker de dienst aanbood om voor 32 BTC toegang tot welke server dan ook te krijgen, mits er Plesk op draait.

Blijkbaar zitten er toch wel wat gaten in dat pakket.
Nou is dit al paar weken bekend en dan nog als hosting provider er niets aan doen. 8)7

Ik snap dat het niet in 1 keer gaat maar beetje vaart erachter zetten lijkt me geen overbodige luxe tegenwoordig :/
Dat Hostnet hun servers met Plesk niet op orde hebben is wel slecht. Kreeg deze week nog een mail van Strato met de waarschuwing.
Ik ben zelf geen fan van Plesk, het is te uitgebreid en sloom. Geef mij maar DirectAdmin, simpel.
Gisteren pas mail ontvangen van Hostnet over dit probleem.
Direct Plesk geŁpdatet maar ik heb geen flauw idee of dat ik al gehackt ben?

Ik zag ergens staan dit te checken in de logs dus dat zal ik vandaag maar eens doen dan.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013