Servereinbruch mit Plesk

  • GenuineIntel, Intel(R) Xeon(R)CPU E5520 @ 2.27GHz
    Parallels Plesk Panel v10.4.4_build1013111102.18 os_Debian 6.0
    Linux 2.6.36.4-vs2.3.0.36.39-nc


    Hallo Forum,



    hatte am 24.02 ein paar administrative Aufgaben auf meinem Server zu erledigen und musste feststellen dass mein Adminaccount beschränkt war. Per SSH war der Zugriff noch möglich und ich konnte mit wenigen mysql Befehlen den Adminaccount wieder frei bekommen. Beim Einloggen musste ich aber dann dem Disaster wohl oder übel ins Auge sehen. Es gab einen neuen Benutzer und zwei neue vhosts.


    Benutzer: uyuidfguiu
    Vhosts: sloboz.uk.me, und www.........


    Beim auswerten der httpds_access fand ich folgendes.



    Das ist nur ein Auszug, und die Vhost wurden um 20:27 angelegt.


    ein nslookup auf die erste Adresse 50.30.34.43 ergab folgendes --> hawk088.startdedicated.com
    ein nslookup auf die zweite Adresse 5.12.197.22 ergab folgendes --> 5-12-197-22.residential.rdsnet.ro


    Beim genaueren hinsehen musste ich in der GUI dann noch feststellen dass dort seit dem 22.02 1331 Mails in der Queue liegen und zwar
    alle von dem Absender

    Code
    1. privacy@vmx2.cibconline.cibc.com


    Ich habe diese Adresse auf die Blacklist gesetzt in der Hoffnung dass das hilft.
    Adminpasswort für Plesk und root hab ich auch geändert doch ich denke die Kiste ist verseucht.


    In der Passwd hat sich der Eindringling ebenfalls eingenistet mit nem /bin/bash Eintrag. Aber das kann auch durch Plesk geschehen sen.


    Also rundum hab ich jetzt ein sehr mulmiges Gefühl und hoffe Ihr könnt mir helfen.


    Was kann ich tuen?


    Gruß ;(

  • Hi,


    meinst du echt neu installieren? Habs mir schon fast gedacht und viel darüber gelesen dass Plesk mal eine Sicherheitslücke hatte was Passwörter im Klarext betrifft, aber das war alles vor Version 10.3. und ein

    Code
    1. cat /etc/psa/.psa.shadow


    schmeisst kryptisches raus.


    Wie kann ich denn den Enbruch durchleuchten?


    Gruß und danke für die schnelle Antwort

  • Ich vermute mal stark dass dein altes Passwort zu unsicher war und es einfach erraten wurde.
    Der Hacker könnte sich überall eingenistet haben, ob eine Neuinstallation da nun abhifle schafft wage ich zu bezweifeln, es könnten ja auch PHP-Scripte betroffen sein und möglicherweise sogar von Kunden.


    Die für mich sauberste Lösung wäre Backup einspielen, ROOT und Pleskadmin Passwörter ändern, und zusehen dass ich den Zugang zum Plesk verhindere (setze kein Plesk ein aber es gibt doch sicherlich eine Option"nach X versuchen IP für zy minuten sperren")

  • Hi Forum,


    ich möchte mich an erster Stelle einmal dafür bedanken dass Ihr alle so schnell geantwortet habt und denke wie Ihr.
    Ich hatte für den Adminaccount ein wirklich schwaches Passwort festgelegt und wusste nicht dass der root (Plesk Account)
    auf den admin account zurückfällt. Na ja, ich habe das letzte Backup nun zurückgespielt und die Passwörter geändert. Das
    Image vom Server gespeichert, die Ports wie 8443 zu gemacht und gehe jetzt etwas restrektiver vor.


    Mal sehen was wird.


    Gruß, Hoster.