Fatih
13-08-2012, 01:42
1036Merhabalar. Haziran 2012′de duyurusu yapılan ve benimde geçenlerde başıma gelen Plesk panellerin tüm sürümlerinde olan bir güvenlik açığından bahsedicez.
Paralells tarafından bu kritik açığın kapatılması için gerekli güncelleme dosyaları yayınlandı. Ayrıntılı bilgiyi buradan KB Parallels (http://kb.parallels.com/en/113321) inceleyebilirsiniz.
Bu açık ile özellikle .js dosyalarına
/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+
şeklinde devam eden şifreli bir kod bulaşıyor.
Eğer bilgisayarınızda güncel bir antivirüs programı kullanmamakta ve sunucunuz üzerinde gerekli güvenlik önlemleri ile birlikte güncelleme işlemi gerçekleştirilmedi ise muhtemel olarak sitenize girişte bu tip virüs uyarılarıları ile karşılaşmanız kaçınılmaz olacaktır.
Plesk Kontrol Panel kullanıyorsanız acil olarak güncelleme yapmanız gerekiyor. Bu güncellemeyi yapmazsanız sunucunuzda büyük bir güvenlik açığı oluşacaktır.
Güvenlik açığı genel itibariyle agent.php dosyasından kaynaklanmaktadır.
Bu virüs açığından etkilenen Plesk sürümleri:
Plesk 7.5.x Reloaded
Plesk 7.1.x Reloaded
Plesk 7.0.x
Parallels Plesk Panel 9.x for Linux/Unix
Parallels Plesk Panel 8.x for Linux/Unix
Plesk 7.x for Windows
Parallels Plesk Panel 9.x for Windows
Parallels Plesk Panel 8.x for Windows
Parallels Plesk Panel 10.3 for Windows
Parallels Plesk Panel 10.2 for Windows
Parallels Plesk Panel 10.1 for Windows
Parallels Plesk Panel 10.0.x for Windows
Parallels Plesk Panel 10.3 for Linux/Unix
Parallels Plesk Panel 10.2 for Linux/Unix
Parallels Plesk Panel 10.1 for Linux/Unix
Parallels Plesk Panel 10.0.x for Linux/Unix
Windows Plesk Plesk 8.1.x ile Plesk 10.3.x sürümleri güncelleme
1. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_deployer.zip
Daha sonra komut satırında aşağıdaki komutu çalıştırın
“%plesk_bin%\php” -d auto_prepend_file=””
plesk_remote_vulnerability_fix_deployer.php
2. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_mass_deployer.zip
Komut satırında aşağıdaki bat dosyasını çalıştırın
plesk_remote_vulnerability_fix_mass_deployer.bat
Ayrıca plesk panel ile ilgili sunucu düzeltmelerini de uygulamak isterseniz, MU-win.zip dosyası içerisindeki ilgili versiyonunuzdaki dosyalar ile güncelleyiniz.
http://kb.parallels.com/Attachments/17178/Attachments/MU-win.zip
Aşağıda bu dosyalar ile ilgili plesk sürümüne göre path’lar belirtilmiştir:
Plesk 8.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.4.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.6.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.2.0 – 9.2.3
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNo wForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.5.1 – Plesk 9.5.5
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNo wForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.0.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Linux Plesk Plesk 8.1, 8.2, 8.3, 8.4, 9.0, 9.2.x, 9.3, 10.0.x, 10.1, 10.2 sürümleri için özel yama güncellemesi
Linux Sunucularda etkilenen dosyalar:
/usr/local/psa/admin/htdocs/enterprise/control/agent.php
/usr/local/psa/admin/plib/api-rpc/Agent.php
Sunucunuza ssh üzerinden login olmanızın ardından plesk_remote_vulnerability_fix_deployer olarak bir klasör oluşturun
mkdir plesk_remote_vulnerability_fix_deployer
Oluşturulan klasör içerisine girelim
cd plesk_remote_vulnerability_fix_deployer
İlgili yama dosyasını sunucuya indirip arşivden çıkarın
wget http://kb.parallels.com/Attachments/18827/Attachments/plesk_remote_vulnerability_fix_deployer.tar.gz
tar -xzf plesk_remote_vulnerability_fix_deployer.tar.gz
Son işlem olarak aşağıdaki komutu dizin içerisinde çalıştırın
/usr/local/psa/admin/bin/php plesk_remote_vulnerability_fix_deployer.php
Dediğim gibi geçenlerde benimde başıma gelmişti ve bir malware analizi yapıp temizleme işlemi gerçekleştirdik. Birkaç gün içinde bu tür durumlarda zararlı kodlar dosyalarda toplu halde nasıl temizlenir konusunu paylaşıcaz.
Son olarak da toparlamak gerekirse sizinde bu durum başınıza gelmemesi için anlatılan gerekli güncellemeleri yapınız. Ve önerilerimiz:
1- .js uzantılı dosyalarınızı kontrol ederek, aşağıdakine benzer tuhaf kodlar var ise siliniz.(/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+” şeklinde devam eden.)
2- index.html, default.asp, index.asp gibi anasayfa kodlarınızı aynı şekilde kontrol ediniz.
3- Bu işlemlerin ardından sitenizde zararlı kod olmadığından emin olunuz.
4- Daha sonra FTP, Panel ve Mail şifrelerinizi mutlaka değiştiriniz.
5- Kesinlikle crackli FTP programı kullanmayınız önerimiz sadece Filezilla kullanmanızdır.
6- FTP programlarına sitelerinizin FTP bilgilerini kayıt etmeyiniz, her seferinde bilgileri tekrar girerek FTP’ ye bağlantı sağlayınız.
7- Google tarafından siteniz zararlı olarak gösterilmiş ise Google Webmaster Araçları kısmından kısmından tekrar değerlendirilmesini talep ediniz.
8- Tüm bu işlemlerden sonra FTP içeriğinin tamamen indirilerek güncel bir antivirüs programıyla taranıp virüs olmadığı anlaşılarak tekrar FTP’ye atılmasıdır.
Malwaresiz temiz günler diliyorum =)
Alıntıdır. (http://www.webguvenligi.net/plesk-kritik-guvenlik-acigi/)
Arkadaşlar uzun süredir benim de boğuştum sıkıntıyı alıntı olarak bilgilendirmek istedim sizi.Varsa plesk panel kullananız biran önce güncellemelidir diye düşünüyorum.Açık haziran ayında yayınlandı ama hala daha virüs dolaşıyor haberi okuduğumda ben bana gelmez herhalde dedik umursamadık sonradan hemen hemen iş yerinin 120 tane sitesi ile uğraşmak zorunda kaldım.Size önerim güncelleme yapılmadıysa biran önce yapmanızdır.
Bu arada aynı zamanda cpanel kurulu resellerime de aynı virüsler ftp programı aracılığı ile bulaştı.4 aydır ftp sine girmediğim siteye virüs bulaştı buda doğal olarak ftp programına kayıtlı şifreler yüzünden diye düşünüyorum.
Paralells tarafından bu kritik açığın kapatılması için gerekli güncelleme dosyaları yayınlandı. Ayrıntılı bilgiyi buradan KB Parallels (http://kb.parallels.com/en/113321) inceleyebilirsiniz.
Bu açık ile özellikle .js dosyalarına
/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+
şeklinde devam eden şifreli bir kod bulaşıyor.
Eğer bilgisayarınızda güncel bir antivirüs programı kullanmamakta ve sunucunuz üzerinde gerekli güvenlik önlemleri ile birlikte güncelleme işlemi gerçekleştirilmedi ise muhtemel olarak sitenize girişte bu tip virüs uyarılarıları ile karşılaşmanız kaçınılmaz olacaktır.
Plesk Kontrol Panel kullanıyorsanız acil olarak güncelleme yapmanız gerekiyor. Bu güncellemeyi yapmazsanız sunucunuzda büyük bir güvenlik açığı oluşacaktır.
Güvenlik açığı genel itibariyle agent.php dosyasından kaynaklanmaktadır.
Bu virüs açığından etkilenen Plesk sürümleri:
Plesk 7.5.x Reloaded
Plesk 7.1.x Reloaded
Plesk 7.0.x
Parallels Plesk Panel 9.x for Linux/Unix
Parallels Plesk Panel 8.x for Linux/Unix
Plesk 7.x for Windows
Parallels Plesk Panel 9.x for Windows
Parallels Plesk Panel 8.x for Windows
Parallels Plesk Panel 10.3 for Windows
Parallels Plesk Panel 10.2 for Windows
Parallels Plesk Panel 10.1 for Windows
Parallels Plesk Panel 10.0.x for Windows
Parallels Plesk Panel 10.3 for Linux/Unix
Parallels Plesk Panel 10.2 for Linux/Unix
Parallels Plesk Panel 10.1 for Linux/Unix
Parallels Plesk Panel 10.0.x for Linux/Unix
Windows Plesk Plesk 8.1.x ile Plesk 10.3.x sürümleri güncelleme
1. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_deployer.zip
Daha sonra komut satırında aşağıdaki komutu çalıştırın
“%plesk_bin%\php” -d auto_prepend_file=””
plesk_remote_vulnerability_fix_deployer.php
2. Yöntem
Zipteki dosyayı sunucunuza indirip arşivden çıkartın
http://kb.parallels.com/Attachments/17178/Attachments/plesk_remote_vulnerability_fix_mass_deployer.zip
Komut satırında aşağıdaki bat dosyasını çalıştırın
plesk_remote_vulnerability_fix_mass_deployer.bat
Ayrıca plesk panel ile ilgili sunucu düzeltmelerini de uygulamak isterseniz, MU-win.zip dosyası içerisindeki ilgili versiyonunuzdaki dosyalar ile güncelleyiniz.
http://kb.parallels.com/Attachments/17178/Attachments/MU-win.zip
Aşağıda bu dosyalar ile ilgili plesk sürümüne göre path’lar belirtilmiştir:
Plesk 8.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.4.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 8.6.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.2.0 – 9.2.3
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.3.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNo wForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 9.5.1 – Plesk 9.5.5
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\class.Session.php
%plesk_dir%\admin\plib\backup\BackupCreateBackupNo wForm.php
%plesk_dir%\admin\htdocs\help.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.0.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.1.1
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Plesk 10.2.0
%plesk_dir%\admin\plib\api-rpc\Agent.php
%plesk_dir%\admin\plib\visibility.php
Linux Plesk Plesk 8.1, 8.2, 8.3, 8.4, 9.0, 9.2.x, 9.3, 10.0.x, 10.1, 10.2 sürümleri için özel yama güncellemesi
Linux Sunucularda etkilenen dosyalar:
/usr/local/psa/admin/htdocs/enterprise/control/agent.php
/usr/local/psa/admin/plib/api-rpc/Agent.php
Sunucunuza ssh üzerinden login olmanızın ardından plesk_remote_vulnerability_fix_deployer olarak bir klasör oluşturun
mkdir plesk_remote_vulnerability_fix_deployer
Oluşturulan klasör içerisine girelim
cd plesk_remote_vulnerability_fix_deployer
İlgili yama dosyasını sunucuya indirip arşivden çıkarın
wget http://kb.parallels.com/Attachments/18827/Attachments/plesk_remote_vulnerability_fix_deployer.tar.gz
tar -xzf plesk_remote_vulnerability_fix_deployer.tar.gz
Son işlem olarak aşağıdaki komutu dizin içerisinde çalıştırın
/usr/local/psa/admin/bin/php plesk_remote_vulnerability_fix_deployer.php
Dediğim gibi geçenlerde benimde başıma gelmişti ve bir malware analizi yapıp temizleme işlemi gerçekleştirdik. Birkaç gün içinde bu tür durumlarda zararlı kodlar dosyalarda toplu halde nasıl temizlenir konusunu paylaşıcaz.
Son olarak da toparlamak gerekirse sizinde bu durum başınıza gelmemesi için anlatılan gerekli güncellemeleri yapınız. Ve önerilerimiz:
1- .js uzantılı dosyalarınızı kontrol ederek, aşağıdakine benzer tuhaf kodlar var ise siliniz.(/*km0ae9gr6m*/try{prototype%2;}catch(asd){x=2;}try{q=document[(x)?”c”+”r”:2+” şeklinde devam eden.)
2- index.html, default.asp, index.asp gibi anasayfa kodlarınızı aynı şekilde kontrol ediniz.
3- Bu işlemlerin ardından sitenizde zararlı kod olmadığından emin olunuz.
4- Daha sonra FTP, Panel ve Mail şifrelerinizi mutlaka değiştiriniz.
5- Kesinlikle crackli FTP programı kullanmayınız önerimiz sadece Filezilla kullanmanızdır.
6- FTP programlarına sitelerinizin FTP bilgilerini kayıt etmeyiniz, her seferinde bilgileri tekrar girerek FTP’ ye bağlantı sağlayınız.
7- Google tarafından siteniz zararlı olarak gösterilmiş ise Google Webmaster Araçları kısmından kısmından tekrar değerlendirilmesini talep ediniz.
8- Tüm bu işlemlerden sonra FTP içeriğinin tamamen indirilerek güncel bir antivirüs programıyla taranıp virüs olmadığı anlaşılarak tekrar FTP’ye atılmasıdır.
Malwaresiz temiz günler diliyorum =)
Alıntıdır. (http://www.webguvenligi.net/plesk-kritik-guvenlik-acigi/)
Arkadaşlar uzun süredir benim de boğuştum sıkıntıyı alıntı olarak bilgilendirmek istedim sizi.Varsa plesk panel kullananız biran önce güncellemelidir diye düşünüyorum.Açık haziran ayında yayınlandı ama hala daha virüs dolaşıyor haberi okuduğumda ben bana gelmez herhalde dedik umursamadık sonradan hemen hemen iş yerinin 120 tane sitesi ile uğraşmak zorunda kaldım.Size önerim güncelleme yapılmadıysa biran önce yapmanızdır.
Bu arada aynı zamanda cpanel kurulu resellerime de aynı virüsler ftp programı aracılığı ile bulaştı.4 aydır ftp sine girmediğim siteye virüs bulaştı buda doğal olarak ftp programına kayıtlı şifreler yüzünden diye düşünüyorum.