服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Ubuntu 8.04 LTS与Plesk的网站感染了病毒
Intereting Posts
与Kerio连接LDAPauthentication问题 如何更改XP VPN连接上的默认网关? 如何添加iptables ip blocklist到Plesk 10.4.4(CentOS)? 什么是dd if = / dev / zero of = / EMPTY bs = 1M 升级Ubuntu 9.04 复制Amazon EC2实例以在本地使用 如何在angular色中使用variables 按时间和大小限制tcpdump捕获文件 .htaccess – 如何告诉wordpress忽略一个目录 备份KVM原始图像 在VG列表中重复PV 使用AWS VPC的Meraki站点到站点VPN? 如何找出Linux安装中默认安装的所有软件包? 如何阻止Cron发送有关错误的消息 HTTP CONNECT对强制Web代理的影响

Ubuntu 8.04 LTS与Plesk的网站感染了病毒

我在Ubuntu 8.04 LTS上运行Plesk 9.5,并且有大约15个网站感染了一些附加到java文件末尾的恶意代码。 我已经安装了Clamav,它已经设法拾取了以/*km0ae9gr6m*//*gootkitstart*/开头并以/*km0ae9gr6m*//*gootkitstart*/开头的模式的受感染文件。

我的Plesk面板是最新的,安装了安全补丁。 如何隔离服务器上的安全漏洞?

首先,如果有一个rootkit,你可能正在打一场无休止的战斗。 使服务器脱机并重新安装并恢复感染前的备份。 这是修复的“最佳”方法。

其次,在感染之前是否有补丁或更新?或者您是否在补丁之后补丁?

第三,在Plesk之外的服务器上运行的是什么自定义代码? 你怎么知道,甚至是感染媒介?

没有审计和沙箱,你将很难说出发生了什么事。 如果有一个数据库在运行,那么系统上有人可能有错误的代码。 如果有其他人访问服务器,也许他们做了一些感染它。 这些网站是否以不同的文件权限运行可能会损坏? 还是这些网站几乎都分享了所有的资源? 其他用户是否参与并能够运行脚本? 他们有不同的小部件和安装了什么? 这些文件是否有时间戳记,所以你可以回到日志中来收集发生的事情?

如果这些日志位于同一台服务器上,那么日志也可能被更改。

最后,最好的办法是让服务器脱机,并通过重新安装备份来修复它。 否则,你不能完全信任它。 如果您有任何“个人”数据(用户密码?),则需要通知他们的信息可能已被盗用。 然后开始在系统上设置某种审计,并通过安全通道将日志文件发送到辅助服务器,这样日志就不能被入侵者清除。 在另一台服务器上运行一些类似Stealth的文件检查实用程序来监视文件的完整性,并警告你的变化。

如果不知道你的服务器还在运行什么,那么其他人几乎可以告诉你它是如何被攻破的。

没有通用的方法 – 这一切都是动手的。 您通常需要configuration广泛的日志logging,最好不仅来自您正在检查的系统,而且还来自您定期归档的独立IDS。 此外,还需要一系列有关计算机安全和取证的经验,否则就不会有机会。

但是,正如目前恶意软件通常在大规模感染的情况下,已经为您完成这项工作的机会很大:

http://www.m86security.com/labs/i/GootKit–Automated-Website-Infection,trace.1368~.asp

显然,攻击者不会手动感染数百个网页,而是使用脚本或僵尸networking为其工作。 另一个这样的机器人被称为GootKit 。 […]我们不确定控制服务器是如何获得所有FTP凭证的,但是通常这些通过键盘logging器和窃取安装在网站pipe理员PC上的恶意软件的信息被窃取。

尽pipe从二月份开始安装了Parallel的安全补丁程序,但我们已经在plesk 9.5服务器上看到了这一点

基本上,他们发布到login页面,并没有身份validation,然后直接所见即所得的文件pipe理器,并将代码附加到js文件。 Plesk拒绝承认这一点,唯一的select是防火墙删除和允许特定的IP地址。

您将在plesks admin / log目录中的httpsd_access日志中findPOST。

全球sed会删除代码,幸运的是,它们都以相同的string开头。

这听起来像你的密码已经泄露了一段时间,现在被用来安装木马滴pipe脚本。 请参阅以下内容以获取更多详细信息。

在经历了几个令客户感到恐慌的周末之后,我们收到了Parallels的技术支持回复:

请注意,通过Internet或我们的论坛报告的所有漏洞问题实际上都可以追溯到Plesk中的一个旧漏洞,以下知识库文章对此进行了全面描述:

http://kb.parallels.com/113321

文章#114379也提到这个信息。 请彻底检查文章#113321和相关的文章,以validation问题的存在,安装所有必要的microupdates,并确保服务器通过大量密码重置保护:

http://kb.parallels.com/en/113424 http://kb.parallels.com/zh/9294 http://kb.parallels.com/zh/113391

有趣的是,有趣的是,7月15日,Parallels又带来了另一个“安全”补丁。

我pipe理一个感染了/ km0ae9gr6m /恶意软件的Plesk 9.5.4服务器。 仅供参考 – 在我的服务器上,恶意代码被添加到Javascript,PHP和HTML / HTM文件。 我正在发布信息,让社区知道我在使用Plesk的IP地址限制function。 要清楚 – 在Plesk控制面板中,我拒绝Plesklogin访问除了两个IP地址(我自己的工作室,以及我的一个客户的办公室IP地址)。 尽pipe有此限制,日志文件还显示了Plesk防火墙不允许的来自IP地址的admin用户的login信息。 从那以后,我用IP表对8443端口实施了相同的地址限制,到目前为止(大约48小时)没有进一步的问题。 根据我的经验,我说不要相信你的安全到Plesk的IP地址限制。 如果有人有兴趣,我会很乐意分享我的日志文件。

如果您需要获取受影响文件的列表并拥有SSH访问权限,可以使用以下命令:grep -rl km0ae9gr6m / var / www / vhosts /

这将拉出包含恶意软件签名的vhosts目录中的所有文件的列表。 我发现使用Plesk文件pipe理器编辑受影响的文件是最容易的。 在我的情况下,所有的恶意代码被追加到被感染的文件的底部。

希望更多的信息能够揭示出这种攻击是如何绕过Plesklogin和IP地址限制的。