Aktuell wurde eine gröbere Sicherheitslücke in der bei den meisten Servern verwendeten Administrationsoberfläche PLESK entdeckt, durch die Unbefugte die Kontrolle des Systems erlangen könnten.
Tatsächlich wurden auf einem unserer Server und mehreren Servern eines befreundeten Unternehmens Infektionen gefunden.
Für den Fall, dass auch Sie diesen lästigen Käfer wieder loswerden möchten bitcoin gambling site, empfiehlt sich meines Kenntnisstandes nach aktuell das folgende Vorgehen:
- Unter der Verzeichnisebene /var/www/vhosts mittels find suchen, ob unbekannte Perl-Scripte im cgi-bin Verzeichnis einer oder mehrerer Domains liegen. Die Scripte haben Namen aus englischsprachigen Wörterbüchern. -> Löschen
- Mittels ps aux | grep perl nachschauen, ob bereits Ressourcenfressende Perl-Scripts im Arbeitsspeicher unter der Userid des Webkunden (Domainname) ihr Unwesen treiben. -> killall
- Ich habe dann noch im Plesk die CGI-Berechtigungen überall dort entzogen, wo sie nicht mehr nötig waren.
- Mittels Plesk Autoinstaller das Microupdate zum Schliessen der Sicherheitslücke aufspielen:
/opt/psa/admin/bin/autoinstaller –ignore-key-errors - Im Verzeichnis /var/spool/cron finden Sie die User-Crons, die die bösen Perlscripte jede Miunte wieder neu starten wollen. Löschen!
- Alles was im /tmp/ Verzeichns irgendwie „apachectrl.lock“ oder ähnlich heisst ebenfalls löschen.
- Mittels Providerseitiger Firewall oder iptables den Port 5432 komplett blocken
Das sollte es dann gewesen sein.
Haben Sie eine andere Art der Herangehensweise? Kritik? Her damit!
Schreibe einen Kommentar