{"id":7035,"date":"2012-07-12T06:11:29","date_gmt":"2012-07-12T06:11:29","guid":{"rendered":"http:\/\/www.bsk-consulting.de\/?p=479"},"modified":"2022-10-04T16:36:25","modified_gmt":"2022-10-04T14:36:25","slug":"plesk-0-day-workaround","status":"publish","type":"post","link":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/","title":{"rendered":"Plesk 0-day Workaround"},"content":{"rendered":"

[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}” da_is_popup=”off” da_exit_intent=”off” da_has_close=”on” da_alt_close=”off” da_dark_close=”off” da_not_modal=”on” da_is_singular=”off” da_with_loader=”off” da_has_shadow=”on” da_disable_devices=”off|off|off”][et_pb_row admin_label=”row” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_text admin_label=”Text” _builder_version=”4.18.0″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″]Ein k\u00fcrzlich bekannt gewordener<\/a> 0-day Exploit f\u00fcr Plesk bedroht zahlreiche Server-Installationen. Betroffen sind vorasussichtlich alle Versionen vor Plesk 11. Die L\u00fccke soll bereits genutzt worden sein, um tausende Installationen zu unterwandern. \u00dcber das ausgenutzte Plesk lassen sich weitreichende Rechte auf dem System erlangen.
\nDa bisher kein offizieller Patch bereit steht, empfehlen wir, den Plesk Zugriff per Firewall Regel zu unterbinden.<\/p>\n

Plesk in aktivierter Plesk-Firewall deaktivieren – von der Kommandozeile<\/h1>\n

Die Plesk Firewall konfigurieren<\/p>\n

vi \/usr\/local\/psa\/var\/modules\/firewall\/firewall-active.sh<\/pre>\n
Darin die Zeilen f\u00fcr den Zugriff auf Plesk auskommentieren – z.B.:<\/p>\n
#\/sbin\/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT\n#\/sbin\/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT<\/pre>\n
Dann Plesk-Firewall neu starten:<\/p>\n
\/etc\/init.d\/psa-firewall restart<\/pre>\n
Plesk per iptables Regel unzug\u00e4nglich machen<\/h1>\n
Zuerst sollte man pr\u00fcfen, welche Regeln aktiv sind:<\/p>\n
iptables -L -vn --line-numbers<\/pre>\n
Dort Ausschau halten nach Zeilen mit Zielport 8443 und 8880.
\nWenn kaum Zeilen zu sehen sind, dann ist die Firewall nicht konfiguriert und man sollte beispielsweise eine Werkzeug wie “lokkit” verwenden, um Basisregeln auf einfache Weise auf das System zu bringen.
\nWenn zahlreiche Firewall-Regeln konfiguriert sind, lohnt es sich herauszufinden, von welchem Werkzeug die Regeln auf dem System erzeugt wurden. Manchmal l\u00e4sst sich das an den “Chain”-Namen ableiten.
\nF\u00fcr schnelle Hilfe bis zu einem Restart, geht man folgenderma\u00dfen vor, wenn man ACCEPT-Zeilen f\u00fcr die Plesk Dienste gefunden hat.<\/p>\n
iptables -D Chain-Name Nummer-der-Regel<\/pre>\n
also z.B.<\/p>\n
ipatbles -D INPUT 5<\/pre>\n
Wenn man keine Firewall definiert hat oder keine Regel findet, die Plesk explizit verbietet, gibt man folgendes ein:<\/p>\n
iptables -I INPUT 1 -p tcp --dport 8443 -j DROP\niptables -I INPUT 2 -p tcp --dport 8880 -j DROP<\/pre>\n
Das f\u00fcgt ganz oben in den INPUT Chain die Regeln ein, dass niemand auf Plesk Zugriff bekommt.
\nMan kann die Regeln immer wieder l\u00f6schen und beispielsweise nur der eigenen IP Zugriff auf Plesk geben.
\nL\u00f6schen<\/p>\n
iptables -D INPUT 1\niptables -D INPUT 2<\/pre>\n
Nur eigener Zugriff (eigene IP hier als “87.12.34.56” definiert)<\/p>\n
iptables -I INPUT 1 -p tcp -s 87.12.34.56 --dport 8443 -j ACCEPT\niptables -I INPUT 2 -p tcp -s 87.12.34.56 --dport 8880 -j ACCEPT\niptables -I INPUT 3 -p tcp --dport 8443 -j DROP\niptables -I INPUT 4 -p tcp --dport 8880 -j DROP<\/pre>\n
Die \u00c4nderungen an der Firewall sollten immer auch getestet werden, indem man versucht, die Seite aufzurufen.[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein k\u00fcrzlich bekannt gewordener 0-day Exploit f\u00fcr Plesk bedroht zahlreiche Server-Installationen. Betroffen sind vorasussichtlich alle Versionen vor Plesk 11. Die L\u00fccke soll bereits genutzt worden sein, um tausende Installationen zu unterwandern. \u00dcber das ausgenutzte Plesk lassen sich weitreichende Rechte auf dem System erlangen. Da bisher kein offizieller Patch bereit steht, empfehlen wir, den Plesk Zugriff per Firewall Regel zu unterbinden. Plesk in aktivierter Plesk-Firewall deaktivieren – von der Kommandozeile Die Plesk Firewall konfigurieren vi \/usr\/local\/psa\/var\/modules\/firewall\/firewall-active.sh Darin die Zeilen f\u00fcr den Zugriff auf Plesk auskommentieren – z.B.: #\/sbin\/iptables -A INPUT -p tcp –dport 8443 -j ACCEPT #\/sbin\/iptables -A INPUT -p tcp –dport 8880 -j ACCEPT Dann Plesk-Firewall neu starten: \/etc\/init.d\/psa-firewall restart Plesk per iptables Regel unzug\u00e4nglich machen Zuerst sollte man pr\u00fcfen, welche Regeln aktiv sind: iptables -L -vn –line-numbers Dort Ausschau halten nach Zeilen mit Zielport 8443 und 8880. Wenn kaum Zeilen zu sehen sind, dann ist die Firewall nicht konfiguriert und man sollte beispielsweise eine Werkzeug wie “lokkit” verwenden, um Basisregeln auf einfache Weise auf das System zu bringen. Wenn zahlreiche Firewall-Regeln konfiguriert sind, lohnt es sich herauszufinden, von welchem Werkzeug die Regeln auf dem System erzeugt wurden. Manchmal l\u00e4sst sich das an den “Chain”-Namen ableiten. F\u00fcr schnelle Hilfe bis […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"Ein k\u00fcrzlich bekannt gewordener<\/a> 0-day Exploit f\u00fcr Plesk bedroht zahlreiche Server-Installationen. Betroffen sind vorasussichtlich alle Versionen vor Plesk 11. Die L\u00fccke soll bereits genutzt worden sein, um tausende Installationen zu unterwandern. \u00dcber das ausgenutzte Plesk lassen sich weitreichende Rechte auf dem System erlangen.\r\nDa bisher kein offizieller Patch bereit steht, empfehlen wir, den Plesk Zugriff per Firewall Regel zu unterbinden.\r\n
Plesk in aktivierter Plesk-Firewall deaktivieren - von der Kommandozeile<\/h1>\r\nDie Plesk Firewall konfigurieren\r\n[cc lang=\"bash\"]vi \/usr\/local\/psa\/var\/modules\/firewall\/firewall-active.sh[\/cc]\r\nDarin die Zeilen f\u00fcr den Zugriff auf Plesk auskommentieren - z.B.:\r\n[cc lang=\"bash\"]#\/sbin\/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT\r\n#\/sbin\/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT[\/cc]\r\nDann Plesk-Firewall neu starten:\r\n[cc lang=\"bash\"]\/etc\/init.d\/psa-firewall restart[\/cc]\r\n
Plesk per iptables Regel unzug\u00e4nglich machen<\/h1>\r\nZuerst sollte man pr\u00fcfen, welche Regeln aktiv sind:\r\n[cc lang=\"bash\"]iptables -L -vn --line-numbers[\/cc]\r\nDort Ausschau halten nach Zeilen mit Zielport 8443 und 8880.\r\nWenn kaum Zeilen zu sehen sind, dann ist die Firewall nicht konfiguriert und man sollte beispielsweise eine Werkzeug wie \"lokkit\" verwenden, um Basisregeln auf einfache Weise auf das System zu bringen.\r\nWenn zahlreiche Firewall-Regeln konfiguriert sind, lohnt es sich herauszufinden, von welchem Werkzeug die Regeln auf dem System erzeugt wurden. Manchmal l\u00e4sst sich das an den \"Chain\"-Namen ableiten.\r\nF\u00fcr schnelle Hilfe bis zu einem Restart, geht man folgenderma\u00dfen vor, wenn man ACCEPT-Zeilen f\u00fcr die Plesk Dienste gefunden hat.\r\n[cc lang=\"bash\"]iptables -D Chain-Name Nummer-der-Regel[\/cc]\r\nalso z.B.\r\n[cc lang=\"bash\"]ipatbles -D INPUT 5[\/cc]\r\nWenn man keine Firewall definiert hat oder keine Regel findet, die Plesk explizit verbietet, gibt man folgendes ein:\r\n[cc lang=\"bash\"]iptables -I INPUT 1 -p tcp --dport 8443 -j DROP\r\niptables -I INPUT 2 -p tcp --dport 8880 -j DROP[\/cc]\r\nDas f\u00fcgt ganz oben in den INPUT Chain die Regeln ein, dass niemand auf Plesk Zugriff bekommt.\r\nMan kann die Regeln immer wieder l\u00f6schen und beispielsweise nur der eigenen IP Zugriff auf Plesk geben.\r\nL\u00f6schen\r\n[cc lang=\"bash\"]iptables -D INPUT 1\r\niptables -D INPUT 2[\/cc]\r\nNur eigener Zugriff (eigene IP hier als \"87.12.34.56\" definiert)\r\n[cc lang=\"bash\"]iptables -I INPUT 1 -p tcp -s 87.12.34.56 --dport 8443 -j ACCEPT\r\niptables -I INPUT 2 -p tcp -s 87.12.34.56 --dport 8880 -j ACCEPT\r\niptables -I INPUT 3 -p tcp --dport 8443 -j DROP\r\niptables -I INPUT 4 -p tcp --dport 8880 -j DROP[\/cc]\r\nDie \u00c4nderungen an der Firewall sollten immer auch getestet werden, indem man versucht, die Seite aufzurufen.","_et_gb_content_width":"","footnotes":""},"categories":[327,255,335],"tags":[362,363,364,365,366,328,367,332,368,369,334,370,371,372,360,373],"class_list":["post-7035","post","type-post","status-publish","format-standard","hentry","category-alert","category-command-line","category-security-fix","tag-0-day","tag-0day","tag-364","tag-365","tag-abschalten","tag-command","tag-firewall","tag-line","tag-panel","tag-parallels","tag-plesk","tag-port","tag-schliesen","tag-unterbinden","tag-workaround","tag-zugriff"],"yoast_head":"\nPlesk 0-day Workaround - Nextron Systems<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\"},\"author\":{\"name\":\"Florian Roth\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919\"},\"headline\":\"Plesk 0-day Workaround\",\"datePublished\":\"2012-07-12T06:11:29+00:00\",\"dateModified\":\"2022-10-04T14:36:25+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\"},\"wordCount\":412,\"publisher\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\"},\"keywords\":[\"0-day\",\"0day\",\"8443\",\"8880\",\"abschalten\",\"command\",\"firewall\",\"line\",\"panel\",\"parallels\",\"Plesk\",\"port\",\"schlie\u00dfen\",\"unterbinden\",\"workaround\",\"zugriff\"],\"articleSection\":[\"Alert\",\"Command Line\",\"Security Fix\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\",\"url\":\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\",\"name\":\"Plesk 0-day Workaround - Nextron Systems\",\"isPartOf\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#website\"},\"datePublished\":\"2012-07-12T06:11:29+00:00\",\"dateModified\":\"2022-10-04T14:36:25+00:00\",\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.nextron-systems.com\/#website\",\"url\":\"https:\/\/www.nextron-systems.com\/\",\"name\":\"Nextron Systems\",\"description\":\"We Detect Hackers\",\"publisher\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.nextron-systems.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\",\"name\":\"Nextron Systems GmbH\",\"url\":\"https:\/\/www.nextron-systems.com\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png\",\"contentUrl\":\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png\",\"width\":260,\"height\":260,\"caption\":\"Nextron Systems GmbH\"},\"image\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919\",\"name\":\"Florian Roth\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g\",\"caption\":\"Florian Roth\"},\"description\":\"Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.\",\"url\":\"https:\/\/www.nextron-systems.com\/author\/florian\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Plesk 0-day Workaround - Nextron Systems","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/#article","isPartOf":{"@id":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/"},"author":{"name":"Florian Roth","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919"},"headline":"Plesk 0-day Workaround","datePublished":"2012-07-12T06:11:29+00:00","dateModified":"2022-10-04T14:36:25+00:00","mainEntityOfPage":{"@id":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/"},"wordCount":412,"publisher":{"@id":"https:\/\/www.nextron-systems.com\/#organization"},"keywords":["0-day","0day","8443","8880","abschalten","command","firewall","line","panel","parallels","Plesk","port","schlie\u00dfen","unterbinden","workaround","zugriff"],"articleSection":["Alert","Command Line","Security Fix"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/","url":"https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/","name":"Plesk 0-day Workaround - Nextron Systems","isPartOf":{"@id":"https:\/\/www.nextron-systems.com\/#website"},"datePublished":"2012-07-12T06:11:29+00:00","dateModified":"2022-10-04T14:36:25+00:00","inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.nextron-systems.com\/2012\/07\/12\/plesk-0-day-workaround\/"]}]},{"@type":"WebSite","@id":"https:\/\/www.nextron-systems.com\/#website","url":"https:\/\/www.nextron-systems.com\/","name":"Nextron Systems","description":"We Detect Hackers","publisher":{"@id":"https:\/\/www.nextron-systems.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.nextron-systems.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.nextron-systems.com\/#organization","name":"Nextron Systems GmbH","url":"https:\/\/www.nextron-systems.com\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/","url":"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png","contentUrl":"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png","width":260,"height":260,"caption":"Nextron Systems GmbH"},"image":{"@id":"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919","name":"Florian Roth","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g","caption":"Florian Roth"},"description":"Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.","url":"https:\/\/www.nextron-systems.com\/author\/florian\/"}]}},"_links":{"self":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/comments?post=7035"}],"version-history":[{"count":4,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7035\/revisions"}],"predecessor-version":[{"id":14671,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7035\/revisions\/14671"}],"wp:attachment":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/media?parent=7035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/categories?post=7035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/tags?post=7035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}