Plesk gehacked und Gootkit DDoS eingefangen?

Aktuell wurde eine gröbere Sicherheitslücke in der bei den meisten Servern verwendeten Administrationsoberfläche PLESK entdeckt, durch die Unbefugte die Kontrolle des Systems erlangen könnten.

Tatsächlich wurden auf einem unserer Server und mehreren Servern eines befreundeten Unternehmens Infektionen gefunden.

Für den Fall, dass auch Sie diesen lästigen Käfer wieder loswerden möchten, empfiehlt sich meines Kenntnisstandes nach aktuell das folgende Vorgehen:

  • Unter der Verzeichnisebene /var/www/vhosts mittels find suchen, ob unbekannte Perl-Scripte im cgi-bin Verzeichnis einer oder mehrerer Domains liegen. Die Scripte haben Namen aus englischsprachigen Wörterbüchern. -> Löschen
  • Mittels ps aux | grep perl nachschauen, ob bereits Ressourcenfressende Perl-Scripts im Arbeitsspeicher unter der Userid des Webkunden (Domainname) ihr Unwesen treiben. -> killall
  • Ich habe dann noch im Plesk die CGI-Berechtigungen überall dort entzogen, wo sie nicht mehr nötig waren.
  • Mittels Plesk Autoinstaller das Microupdate zum Schliessen der Sicherheitslücke aufspielen:
    /opt/psa/admin/bin/autoinstaller –ignore-key-errors
  • Im Verzeichnis /var/spool/cron finden Sie die User-Crons, die die bösen Perlscripte jede Miunte wieder neu starten wollen. Löschen!
  • Alles was im /tmp/ Verzeichns irgendwie „apachectrl.lock“ oder ähnlich heisst ebenfalls löschen.
  • Mittels Providerseitiger Firewall oder iptables den Port 5432 komplett blocken

Das sollte es dann gewesen sein.
Haben Sie eine andere Art der Herangehensweise? Kritik? Her damit!

1 thought on “Plesk gehacked und Gootkit DDoS eingefangen?

  • Hallo,
    wir hatten heute ebenfalls ein Gootkit auf unserem root-Server. Trotz iptables!

    Um nicht alle cgi-bin-Verzeichnisse manuel durchsuchen zu müssen, habe ich mit
    cat /var/spool/cron/*
    geschaut, welche auffälligen cronjobs laufen So konnte ich schnell erkennen, wo die Ursache liegt.

    Ihre Anleitung hat uns geholfen, die Bösewichte schnell wieder loszuwerden.
    Vielen Dank.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.