Plesk-hackers slaan toe bij diverse klanten Hostnet

Hackers hebben in de afgelopen weken op diverse servers van Hostnet ingebroken via een lek in beheertool Plesk. Hierbij zijn inloggegevens van klanten buitgemaakt. Het hostingbedrijf roept de getroffen klanten op hun wachtwoorden te wijzigen.

De aanvallers zijn de servers binnengekomen via een ernstig lek in Plesk, een beheertool voor servers die het mogelijk maakt om een domein via een webinterface te beheren. Het is niet bekend bij hoeveel servers van Hostnet de hackers erin zijn geslaagd om inloggevens te bemachtigen en hoeveel klanten dit dan treft. Naar eigen zeggen heeft Hostnet meer dan 165.000 klanten. Hostnet heeft de klanten waarvan het bedrijf weet dat ze getroffen zijn, persoonlijk geïnformeerd en vervolgens de andere klanten op de hoogte gebracht.

Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.

"Additionele controle van de desbetreffende systemen gaf op dat moment geen aanleiding om aan te nemen dat het lek actief was misbruikt", aldus Steven Mohamedajoeb, manager operations bij Hostnet. "In de nacht van 4 op 5 maart zagen we echter ineens afwijkend gedrag op enkele servers, omdat deze Facebook begonnen aan te vallen."

Aanvullend onderzoek van het bedrijf wees toen uit dat de aanvallers al op diverse servers hadden toegeslagen. "We hebben zo'n 2000 servers, waarvan het leeuwendeel Plesk draait. Gelukkig blijkt het meerendeel niet vatbaar, omdat de gebruikte Plesk-versie niet vatbaar was of omdat de api-toegang tot Plesk was gelimiteerd."

Mohamedajoeb geeft toe dat nog niet precies duidelijk is hoeveel servers er ten prooi zijn gevallen aan de aanvallers. "Niet elke server is aangeraakt, het lijkt een beetje willekeur. De aanvalspatronen wijzen erop dat ze gebruik hebben gemaakt van geautomatiseerde scripts en dit grondig hadden voorbereid."

Omdat de aanvallers een lek in de api van Plesk hebben misbruikt, hebben ze zich bovendien eenvoudig toegang kunnen verschaffen tot inloggegevens van andere domeinen als ze eenmaal een kwetsbaar domein hadden gevonden. "Ons onderzoek is nog niet afgerond, maar het lijkt erop dat de aanvallers via een kwetsbaar domein door het gebruik van de Plesk-api eenvoudig in staat waren om ook de gegevens van andere domeinen op die server in handen te krijgen."

De aanvallers hebben in de afgelopen weken ongestoord hun gang kunnen gaan. De totale omvang van de aanvalsoperatie is dan ook nog niet te overzien. Duidelijk is al wel dat zowel in Nederland als wereldwijd diverse hostingbedrijven slachtoffer zijn geworden. Eerder deze week bleek al dat ook klanten van Proserve gehackt waren. Ook bij dit hostingbedrijf werden gecompromitteerde servers ingezet om Facebook aan te vallen, wat de aanvallers deze week ook kortstondig lijkt te zijn gelukt.

Reacties (42)

Sorcerer8472 9 maart 2012 11:31

Voor bedrijven die nu eindelijk denken "hmm, laat ik ook maar eens kijken of wij die versie draaien", hier een linkje met meer info over de vulnerability en patches:
http://kb.parallels.com/en/113321

subcultural @Sorcerer8472 • 9 maart 2012 12:10

Voor bedrijven die nu eindelijk denken "hmm, laat ik ook maar eens kijken of wij die versie draaien", hier een linkje met meer info over de vulnerability en patches:
http://kb.parallels.com/en/113321

Erg karige info van Parallels zelf. Ook elders op het net wordt er maar lauwtjes gereageerd op deze security issue. Nochtans is dit wel een groot security probleem dat goed aangepakt dient te worden.

Deze quasi volledig geautomatiseerde hack heeft wereldwijd gescand op Plesk servers en via agent.php via SQL Injection alle usernames en passwords (in clear text als je Plesk versie ouder is dan 10.x) ontvreemd.

Fase 2 is later van start gegaan waarbij geautomatiseerd ingelogd werd met de ontvreemde login gegevens en waarbij men bestanden aanpast.

Even een samenraapsel van verschillende fora, met manieren om te achterhalen of je Plesk server slachtoffer geworden is van deze exploit:

cp -R /usr/local/psa/admin/logs /root/plesk_logs
cd /root/plesk_logs/logs
gzip -d httpsd_access_log*.gz
grep 'agent.php' ./*

Output ziet er zo uit:
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [26/Feb/2012:21:29:16 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [27/Feb/2012:18:23:04 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 1744 "-" "-"
./httpsd_access_log.processed:109.206.185.155 XX.XX.XX.XX:8443 - [28/Feb/2012:10:40:52 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-" "-"
./httpsd_access_log.processed:127.0.0.1 XX.XX.XX.XX:8443 - [28/Feb/2012:12:48:47 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 14004 "-"

109.206.185.155 is één van de bekende IP's die bij veel servers is terugkomen, ook bij de plesk server van mijn bedrijf. Elke regel waar een extern ip in voorkomt en waarbij het cijfer achteraan de 200 boven de 200 is, is een geslaagde SQL injection waarbij dus ettelijke bytes aan usernames en passwords zijn onttrokken van de MySQL DB.

Onmiddellijk updaten en wachtwoord reset doorvoeren: http://kb.parallels.com/en/113391

Zeker ook scannen op wijziging van bestanden in de folders van de verschillende subscriptions.

find /var/www/vhosts/ -name \*.js -exec grep -li 'function init(){var f=navigator.userAgent;var a=false;if' {} \;

find /var/www/vhosts/ -name \*.htaccess -exec grep -li 'AddHandler application/x-httpd-php .gif .jpg .jpeg .png' {} \;

ps aux |grep ".pl"

Deze commando's controleren de betreffende .js en .htaccess files op malafide code van de hacker. Laatste commando geeft een lijst van lopende perl scripts.

Op onze servers hebben ze ook geaudit, maar hebben ze geen gegevens buitgemaakt omdat we Plesk 10.4.4 draaien en agent.php van de laatste versie niet meer vatbaar is voor sql injection.
Toch is het aangeraden dit na te kijken, omdat Plesk updates af en toe de mist ingaan en bestaande bestanden niet altijd overschrijven met de nieuwste versie. Een up to date Plesk lijkt veilig, maar met een agent.php met een data modified van april 2011 is dat beslist niet het geval!

Meer info:
http://www.webhostingtalk...te-exploit-plesk-api.html
http://forum.parallels.co...d.php?p=617115#post617115
http://www.atomicorp.com/forum/viewtopic.php?f=1&t=5759

Just smile

@subcultural • 9 maart 2012 15:45

Nog een toevoeging op de post, hierbij een link van Plesk om het wachtwoord te resetten voor de zekerheid, omdat je maar nooit weet of er wachtwoorden zijn gestolen en deze ook daadwerkelijk zijn gerest:

http://kb.parallels.com/en/113391

Plesk Mass Password Reset Script
APPLIES TO:
Plesk 10.x for Linux
Plesk 9.x for Linux/Unix
Plesk 8.x for Linux/Unix
Plesk 10.x for Windows
Plesk 9.x for Windows
Plesk 8.x for Windows
Parallels Business Automation - Standard 4.1
Parallels Business Automation - Standard 4.0

Release Notes
The Mass Password Reset Script was designed to allow Parallels Plesk Panel (PP) owners to reset passwords of all PP accounts in an automated way.

robinverl @subcultural • 9 maart 2012 16:15

Het checken van de laatste wijziging van de boosdoener (Agent.php) kan op de meeste plesk installaties met de volgende regel:

ls -lah /usr/local/psa/admin/plib/api-rpc | grep " Agent.php$"

Let er dus op dat die up-2-date is.

Just smile

9 maart 2012 12:49

Hostnet is niet de enige die dit is overkomen. Proserve en Amenworld hadden hier ook 'last' van. Dat is het nadeel van software wat over de hele wereld word gebruikt. Als er ergens een lek word ontdekt in een Plesk versie, zijn er gelijk vele servers redelijk vatbaar. Een aanzienlijke schade wat dit kan verrichten.

Doet me gelijk denken aan het massale gebruik van Wordpress. Mocht daar ergens een lek ontdekt worden, dan zijn er gelijk tienduizenden (als het er geen miljoenen zijn) vatbaar geworden. Toch één van de redenen dat ik zo min mogelijk met dit soort webbased programma's werk.

Daar ontkom je vrijwel niet aan, een gebruiker van het besturingsysteem van microsoft kan vatbaar zijn, het gebruik van Chrome, Firefox etc. etc. Een anti-virus ontwikkelaar die zelf gehackt is geweest.. Het wordt er allemaal niet veiliger op. Helaas.

Scripted 9 maart 2012 11:27

Was het in bug/lek in de laatste versie van plesk, of waren de beheer(plesk) tools niet up-to-date?
Ik leest dat nergens, misschien lees ik er overheen.

EDIT

@Scripted • 9 maart 2012 11:40

Enkel Plesk versie 10.4 was niet vatbaar. Alle andere versies vanaf 7.6 wel (tenzij je de update geïnstalleerd hebt).
Parallels heeft voor alle versies van 7.6 t/m 10.3 een patch beschikbaar gesteld (maar pas gecommuniceerd naar een select aantal klanten toen het lek actief misbruikt werd en het dus al te laat was).

Zie ook http://kb.parallels.com/en/113321

bbob

Privacy
Nederland

@EDIT • 9 maart 2012 12:30

Tja zal niet goed voor hun naam zijn en de vraag is of er meer lekken komen in plesk.

Met directadmin zie ik op een vps heel simpel een update button, die druk je en hup je hebt binnen een paar minuten de laatste versie.

Tozz @bbob • 9 maart 2012 12:38

Dat is met Plesk niet anders. Plesk heeft zelfs een auto-update feature alla Windows Updates. De laatste versie van Plesk was ook niet lek.

Het is hier dus gewoon gebrek aan patching en updates.

Gert @bbob • 9 maart 2012 13:04

Of je hebt hup het hele systeem omzeep geholpen. Patchmanagement is meer dan op een update knop drukken...

Zoefff @Scripted • 9 maart 2012 11:29

De derde alinea van het artikel geeft aan dat het om een oude versie van Plesk gaat:

Volgens Hostnet hebben de aanvallers zich eind januari al toegang verschaft tot de servers. Hoewel niet bekend is om hoeveel getroffen servers het gaat, is het aannemelijk dat dit servers met een kwetsbare versie van Plesk betreft, omdat de update om het lek te dichten pas later uitkwam. Het hostingbedrijf werd zelf pas op 10 februari op de hoogte gebracht van het lek in Plesk en heeft toen het lek gedicht.

Wellicht niet bijzonder oud, maar dus al wel gepatched.

Scripted @Zoefff • 9 maart 2012 11:31

Oh inderdaad, tja is zo'n hoster dan wat te verwijten is de vraag.

Tozz @Scripted • 9 maart 2012 12:08

Dat is het wel degelijk. Als de servers eind Januari al gehacked zijn is het droevig:

- Je bent gehacked voordat een patch uit komt, prima. Dat kan
- Je hoort van je leverancier dat er een kritieke update is
- Je installeert deze, maar laat na om te checken of je al gehacked bent.

Het niet nagaan of je al gehacked bent, wat een erg eenvoudige controle is middels de Plesk webserver logs, is gewoon dom. Hierdoor hebben klanten onnodig lang het risico gelopen dat hun wachtwoorden elders gebruikt zijn.

c-nan @Tozz • 9 maart 2012 14:22

Want webserver logs zijn niet te manipuleren?

defixje @c-nan • 10 maart 2012 01:08

precies mijn gedachten. Een beetje hacker zorgt dat de logs niks vertonen van zijn acties. Dus het achterhalen wordt dan een stuk lastiger.

34749 @c-nan • 10 maart 2012 01:40

Want webserver logs zijn niet te manipuleren?

Niet als je je logs naar een losse afgeschermde server stuurt via bijvoorbeeld syslog. Tenzij je syslog daemon op die server (tegelijkertijd) een gat heeft (maar dat is onwaarschijnlijk) kan je altijd je logs inzien.

Naar mijn idee kan je bij zoiets als Plesk de authenticatie beter door Apache laten doen. Zet heel plesk in een virtual host met bijvoorbeeld Basic authentication en dan zit Apache als een wrapper om Plesk heen. Apache heeft een beter security trackrecord dan Plesk en gaat er ook een stuk serieuzer mee om (mede omdat partijen zoals RedHat, Google, etc zich ook allemaal bemoeien met de ontwikkeling van Apache).

Hetzelfde heb ik bijvoorbeeld gedaan met Spacewalk. Het risico bij zulk soort applicaties is gewoon te groot om de beveiliging enkel door de applicatie zelf te laten doen.

Yintha @Scripted • 9 maart 2012 11:31

nieuws: Hackers maken wachtwoorden buit bij Proserve via Plesk-lek

'Hoewel het hostingbedrijf voor diverse klanten de beschikbare updates heeft geïnstalleerd, lijkt het erop dat niet alle klanten die geen serviceovereenkomst met het bedrijf hebben dat zelf hebben gedaan.'

jeffreytigch @Scripted • 9 maart 2012 11:31

Er was een lek in een versie van Plesk, die al verholpen is. Bij Hostnet en Proserve ging het om versies die niet waren geupdate en dus het lek bevatte, waar bij Proserve het ging om servers in beheer van de klanten. Hostnet had dit zelf in beheer.

c-nan @jeffreytigch • 9 maart 2012 14:24

Weet je dit 100% zeker of denk je dat?

ViperXL @jeffreytigch • 9 maart 2012 20:21

Ik denk dat hij dat denkt aangezien Hostnet ook VPS'en aanbied en van het unmanaged gedeelte betekent dit ook echt unmanaged! (weet ik uit ervaring)

Dus heb jij een jaar lang niet op een updateknopje geklikt en email-updates voor updates etc uit staan ....... heb je gewoon pech

ViperXL @jeffreytigch • 21 maart 2012 18:04

Dat is niet helemaal correct aangezien Hostnet ook veel unmanaged VPS's aanbied en hier ben je volledig zelf verantwoordelijk voor de management, patchmanagement etc

Het mocht van mij dan wel iets explicieter vermeld worden bij de hosters

robobeat 9 maart 2012 11:32

ik had al een licht deja vu gevoel bij het lezen van dit bericht, maar het blijkt dus om een andere provider te gaan.

tja, wat doen je er aan, zeggen ze dan. ik vraag me in zo een geval af: houden die providers niet bij dat er meerdere gevallen zijn geweest van inbraak door een lek in plesk en nemen hier hun voorzorgsmaatregelen in? dan is de vraag natuurlijk wel: wat kán je er tegen doen? zo snel mogelijk bijwerken dus...

[Reactie gewijzigd door robobeat op 25 juli 2024 12:10]

Ergomane @robobeat • 9 maart 2012 11:41

Als je nu plesk bijwerkt ben je vaak te laat. De initiele hack vond in dit geval eind januari plaats. Zelf heb ik bij Strato een hack op 3 februari gezien. De gedropte malware en/of gestolen gegevens worden nu pas uitgebuit.

robobeat @Ergomane • 9 maart 2012 11:44

ja, dat is ook zo. beetje achteraf gedoe dus. Ik hoop dan toch wel, voor de provider en zeker voor zijn klanten, dat ze wel zo snel mogelijk dit omgooien. alsnog blijven zitten met dezelfde versie is gewoon dom.

Xantios 9 maart 2012 12:03

Nooit echt groot fan geweest van plesk omdat het te groot en gecompliceerd is geworden,
en daardoor kun je wachten tot zo iets als dit gebeurt.

Goed van paralels dat ze het zo snel mogelijk dicht timmeren, beetje jammer van bedrijven dat ze dit soort dingen niet snel controleren en de servers down halen en het naar een veilige server overhevelen.

Ik heb denk ik liever een paar minuten downtime als dat ik klanten vaarwel mag zeggen omdat ze geen vertrouwen meer in het product hebben

Ergomane @Xantios • 9 maart 2012 12:40

Parallels heeft dit in september 2011 gefixt, maar niemand verteld dat het een security update betrof. Ook zijn de microupdates erg laat uitgegeven of door een bug in de autoupdater nooit geinstalleerd.

poepkop 9 maart 2012 13:05

Ik vind het echt waardeloos van Plesk qua communicatie. Een lek dat er al tig versies in zit, weinig info van de kant van Plesk. Een waardeloze informatie pagina (link is al eerder gepost hier). Als ze een nieuwe versie hebben zie je dit meteen in Plesk, maar als er een belangrijk security probleem is dan zie je niks in je control panel.

Wij zijn inmiddels aan het testen met DirectAdmin, voor Plesk betaal je meer dan het dubbele, maar het zit vol met bugs en er wordt ook slecht gecommuniceerd.

Jaded @poepkop • 9 maart 2012 14:18

Als provider hebben wij al 4 mailtjes gehad met koeieletters 'Critical Security Vulnerability - Patch REQUIRED' erin, met daarin verschillende links met uitgebreide informatie hoe dit gat gedicht kan en moet worden.

Prima communicatie vind ik.
Waar ik niet over te spreken ben bij Parallels is de support, maar dat is een ander verhaal.

Ergomane @Jaded • 9 maart 2012 15:01

Wanneer heb je deze mails gekregen? Waar veel providers over vallen is dat de fix vorig jaar gepubliceerd, maar pas de afgelopen maand gecommuniceerd is.

Intussen zijn al vele servers gehackt en klaargemaakt voor een volgende fase.

Zidane007nl 9 maart 2012 12:32

Dat Hostnet hun servers met Plesk niet op orde hebben is wel slecht. Kreeg deze week nog een mail van Strato met de waarschuwing.
Ik ben zelf geen fan van Plesk, het is te uitgebreid en sloom. Geef mij maar DirectAdmin, simpel.

SavageX 9 maart 2012 13:51

Shitt?

Ik neem aan dat Hostnet alle gecompromitteerde klanten een email stuurt of heeft gestuurd?
Ik heb nog een Hostpakket bij Hostnet, het komt nu wel erg dicht bij mijn voordeur lol.
Ze zeggen dat niet alle servers geraakt zijn, hoop dat mijn space er niet tussen zit!
Mocht dat wel zo zijn, hoor ik het graag

mgdejong 9 maart 2012 11:38

Welke versie van Plesk gaat het hierom en is het al dmv een plesk update verholpen ?

Tozz @mgdejong • 9 maart 2012 12:09

Alle versies behalve de laatste (10.4)

NL-JP 9 maart 2012 13:32

Ik ben klant bij Hostnet, heb er een paar sites draaien (maak ook gebruik van Plesk dus) maar ik heb nog helemaal niets van ze gehoord!

Mijn ervaring met Hostnet is dat ze erg traag zijn met updates.

merauder @NL-JP • 9 maart 2012 13:36

Raar dat dit juist met Hostnet gebeurd. In het verleden heb ik met deze gasten gewerkt, en mijn ervaring dat ze op gebied van netwerk en beveiliging vooral van low-risk waren. Traag met updates waren ze inderdaad wel, maar de keuze werd altijd voor langdurige continuïteit gemaakt.

Op dit item kan niet meer gereageerd worden.

Plesk-hackers slaan toe bij diverse klanten Hostnet

Lees meer

Reacties (42)

Sorteer op:

Weergave: