Plesk proftpd root Exploit Warnung

Ich habe grade die Mitteilung von einem Kunden erhalten, dass sein Linux Plesk Hostingserver massiv überlastet ist. in.proftpd Prozesse lasteten die CPU des Systems so aus, dass der Load auf über 40 nach oben schoss.

Ein ps aux zeigte Prozesse mit den Namen httpd, apache die vom Verzeichnis /tmp/.ICE-unix/.root aus gestartet wurden. Diese öffneten eine IRC Verbindung zu einem Server um von dort aus "Mitglied" eines Botnetzes zu werden.

COMMAND   PID USER   FD   TYPE    DEVICE    SIZE     NODE NAME
perl    19715 root  cwd    DIR       9,0    4096 54214771 /tmp/.ICE-unix/.root
perl    19715 root  rtd    DIR       9,0    4096        2 /
perl    19715 root  txt    REG       9,0 1253828  7983805 /usr/bin/perl
perl    19715 root  mem    REG       9,0         41631748 /lib/i686/cmov/libresolv-2.7.so (path inode=41633634)
perl    19715 root  mem    REG       9,0         41631755 /lib/i686/cmov/libnss_dns-2.7.so (path inode=41633648)
perl    19715 root  mem    REG       9,0         41631757 /lib/i686/cmov/libnss_files-2.7.so (path inode=41633630)
perl    19715 root  mem    REG       9,0   19816  8144232 /usr/lib/perl/5.10.0/auto/Socket/Socket.so
perl    19715 root  mem    REG       9,0         41631753 /lib/i686/cmov/libcrypt-2.7.so (path inode=41633627)
perl    19715 root  mem    REG       9,0         41631762 /lib/i686/cmov/libc-2.7.so (path inode=41633638)
perl    19715 root  mem    REG       9,0         41631754 /lib/i686/cmov/libpthread-2.7.so (path inode=41633647)
perl    19715 root  mem    REG       9,0         41631752 /lib/i686/cmov/libm-2.7.so (path inode=41633631)
perl    19715 root  mem    REG       9,0         41631756 /lib/i686/cmov/libdl-2.7.so (path inode=41633640)
perl    19715 root  mem    REG       9,0   16548  8144230 /usr/lib/perl/5.10.0/auto/IO/IO.so
perl    19715 root  mem    REG       9,0         41615628 /lib/ld-2.7.so (path inode=41615384)
perl    19715 root    0u  IPv4 112238056              TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl    19715 root    1u  IPv4 112238056              TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl    19715 root    2u  IPv4 112238056              TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl    19715 root    3u  IPv4 112239334              TCP xxx.de:38139->ns.free-vidz.com:ircd (ESTABLISHED)
perl    19715 root    4u   REG       9,0   49416 46776325 /var/run/proftpd_scoreboard
perl    19715 root    5u  IPv4 112238056              TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)

Die Hacker nutzen dabei folgende Lücke aus: http://bugs.proftpd.org/show_bug.cgi?id=3521

Das miese an der Geschichte ist, dass die Hacker dadurch sofort root Rechte auf dem System hatten.

Da das Paket psa-proftpd von Plesk direkt bereitgestellt wird und nichts mir der Distribution zu tun hat, muss man das Update über die Plesk Oberfläche einspielen. Es sind alle Plesk Versionen von 9.5.x bis 10.x betroffen. Dazu existiert bereits eine Nachricht auf der Parallels Webseite: http://www.parallels.com/de/products/plesk/ProFTPD

Also wirklich dringend Updaten, die Lücke wird bereits automatisiert genutzt und ein Angreifer erhält root Rechte.

Schreibe einen Kommentar