BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

10Apr/140

Plesk Update SSL Zertifikate

heartbleed

Normalerweise werden für den Login im Plesk eigene generierte SSL-Zertifikate erstellt, die beim Login auf https://meine-domain.tld:8443 aufgerufen werden.

Weiterhin werden SSL-Zertifikate für einzelne Domains, z.B. Online-Shops,etc zur sicheren Übertragung von Kundendaten genutzt.

Durch den "Heartbleed-Bug" können diese sensiblen Daten (Benutzernamen, Passwörter) mitgelesen werden !

Welche Versionen von OpenSSL sind betroffen?
(laut http://heartbleed.com/)

  • OpenSSL 1.0.1 bis 1.0.1f (einschließlich) sind angreifbar
  • OpenSSL 1.0.1g nicht betroffen
  • OpenSSL 1.0.0 branch nicht betroffen
  • OpenSSL 0.9.8 branch nicht betroffen

Wie update ich mein System?
(Upgrades können von System zu System unterschiedlich aussehen, dies hier ist nur ein Beispiel)

Für Debian Systeme:
sudo apt-get update
sudo apt-get upgrade

Für CentOS Systeme:
yum update OpenSSL

Webserver und Plesk selber nach dem Upgrade einmal neustarten.

Gibt es einen online-Test für den Heartbleed-Bug?
Ja, unter : http://filippo.io/Heartbleed/

Empfehlung:
Es wird empfohlen, sofern echte Zertifikate im Einsatz waren, diese neu von seiner Zertifizierungsstelle zu beantragen. Die Zertifikate könnten kompromittiert sein.

Wo finde ich mehr Informationen?
http://heartbleed.com/

Sollten Sie Hilfe benötigen, können Sie sich hier über das Kontakt-Formular melden.

19Jun/130

Plesk 0day Exploit – KingCope –

Alle älteren Plesk Versionen 7.x bis 10.3.1 sind von dem Exploit betroffen und sind angreifbar.

Lösung:
Updaten Sie Ihr Plesk mindestens auf die sichere Version: 10.4.x oder 11.x
Diese Version ist von dieser speziellen Sicherheitslücke nicht betroffen!

Parallels Plesk hat auch einen Best Practices Guide zum Absichern von Plesk veröffentlicht: http://kb.parallels.com/en/114396/?show_at=de

Ist mein System gehackt?

Sofern Sie von Ihrem Provider eine Abuse E-Mail bekommen haben, ist es meist schon zu spät und man wurde Opfer des Hackerangriffs.

Des weiteren werden, nach einem erfolgreichen Angriff, Perl Skripte unter:

/tmp/
/var/tmp/

abgelegt.
Sofern sich dort ungewöhnliche Dateien befinden, sollte man einmal genauer seine Prozesse und offenen Verbindungen überprüfen.

Sollten Sie professionelle Hilfe benötigen:

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

25Jul/121

Plesk startet nicht mehr – Plesk wurde gelöscht

Mein Plesk wurde gelöscht?!

Nach einem automatischen Update ist Plesk 10.4.4 nicht mehr zu erreichen.
Es lässt sich sowohl über die Weboberfläche unter

https:://meine-domain.de:8443

als auch über SSH nicht mehr aufrufen bzw. starten.

Was ist passiert?

Bei näherer Betrachtung der Plesk autoupdate Logfiles unter /tmp/plesk_10.4.4_installation.log

**** problem report *****

ERROR while trying to chown root:psaadm /opt/psa/admin/sbin/wrapper Check the error reason(see log file: /tmp/plesk_10.4.4_installation.log), fix and try again STOP Bootstrapper 10.13.4 post-install for BASE AT Tue Jul 17 07:07:07 BST 2012 To complete product installation one should run bootstrapper script: /opt/psa/bootstrapper/pp10.13.4-bootstrapper/bootstrapper.sh repair

sieht man, dass etwas definitiv schief gegangen ist!

Zu diesem Zeitpunkt funktionieren zwar die meisten Webseiten noch auf dem Server, doch man erkennt, weitere Probleme:

  • /usr/local/psa Verzeichnis fehlt
  • /opt/psa/admin/sbin/ hier fehlen Dateien z.B. der oben genannte wrapper
  • Über 80% der Plesk Dateien sind gelöscht worden auf dem Server.

Ist der Fehler bekannt?

Laut Plesk ist der Fehler am 20.Juli.2012 behoben worden. Link
Hier wird bestätigt, dass es bei einem Mikroupdate zum Verlust von Plesk Dateien kommt.

Wir kann ich das Problem lösen?

Vorbereitung:
  • Erstellen eines Backups der Datenbank (mySQL)
  • Webseiten Daten Backups erstellen
  • Mailboxen backupen.

 

Es wird empfohlen auf die aktuelle Version 11 zu updaten (siehe http://blog.botnetzprovider.de/2012/07/25/sicherheitlucke-plesk-und-deren-folgen/

Der Plesk Installer:

Downloaden des Plesk Installers unter: http://www.parallels.com/de/download/plesk/

Dieser wird benötigt, um Plesk 11 auf Ihrem System zu installieren oder ggf. ein Upgrade auf Version 11 durchzuführen . Bitte beachten Sie, dass Sie den Plesk-Installer für Ihre Distribution downloaden.

Nun startet man den Plesk-Installer mit

./parallels_installer_v3.12.0_....

sollte dies nicht funktionieren, müsssen Sie die Datei noch ausführbar machen.

Dies geschieht mit

chmod +x parallels_installer_v3.12.0_....

Bitte folgen Sie nun den Anweisungen des Plesk-Installers.
Nach einem erfolgreichen Upgrade sollte Ihr Plesk wie gewohnt unter

https://meine-domain.de:8443

zu erreichen sein. Alle Ihre bisherigen Einstellungen sollten nun auch in Plesk 11 vorhanden sein. Passwörter und andere Einstellungen sind nicht verändert worden.
Sollten Sie Hilfe benötigen bei der Installation oder beim erstellen von Backups:

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

 

 

25Jan/110

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk)

Ich bekomme in diesen Tagen immer mehr Anfragen zu Backscatter Problematiken.
Sollten Sie auch eine E-Mail von Ihrem Hoster bekommen haben, der Sie darauf hinweist, dass Ihr Server “backscattert” einfach weiter lesen… [LINK]

/* google like button API */