Plesk File Manager Açığı Hakkında (km0ae9gr6m)

Parallels firmasının Plesk ürünü için 2012 şubat ayında yayınladığı bildiriyi uygulamayan sunucu yöneticileri vhosts klasörü altındaki sitelere ait bir çok .js uzantılı dosyanın en altına uzun bir kod eklendiğini farketti ve bu siteler kısa süre içinde google tarafından da tespit edilip , ziyaretçilerine uyarılar yapılmakta. Şubat ayında yayınlanan ilgili bildiri için burayı inceleyebilirsiniz.

Etkilenen Plesk sürüm listesi aşağıdaki gibidir.

Plesk 7.5.x Reloaded
Plesk 7.1.x Reloaded
Plesk 7.0.x
Parallels Plesk Panel 9.x for Linux/Unix
Parallels Plesk Panel 8.x for Linux/Unix
Plesk 7.x for Windows
Parallels Plesk Panel 9.x for Windows
Parallels Plesk Panel 8.x for Windows
Parallels Plesk Panel 10.3 for Windows
Parallels Plesk Panel 10.2 for Windows
Parallels Plesk Panel 10.1 for Windows
Parallels Plesk Panel 10.0.x for Windows
Parallels Plesk Panel 10.3 for Linux/Unix
Parallels Plesk Panel 10.2 for Linux/Unix
Parallels Plesk Panel 10.1 for Linux/Unix
Parallels Plesk Panel 10.0.x for Linux/Unix

Detay için burayı inceleyebilirsiniz.

Zararlı kod /*km0ae9gr6m*/ ile başlayıp /*qhk6sa6g1c*/ ile bitmektedir.

Eğer Plesk in ilgili patch ini uygular iseniz açık kapatılmış olacaktır.Açığı tam olarak kapamak için farklı bir yol izlemek isteyebilirsiniz , bunlardan biri de filemanager ı devre dışı bırakmak olacaktır , aşağıdaki komutları çalıştırarak bu işlemi yapabilirsiniz.

cd /usr/local/psa/admin/htdocs/filemanager/
mv filemanager.php filemanager_yedek.php
cd /usr/local/psa/admin/bin/
mv filemng filemng.bak

Peki diyelim ki açıktan etkilendik ve yüzlerce dosya arasında tek tek nasıl bu uzun ve zararlı kodu temizleyeceğiz , cevabı için aşağıdaki komutu kullanabilirsiniz.

find /var/www/vhosts/*/httpdocs/ -type f -name ‘*.js’ -print0 | xargs -0 perl -i -0777pe ‘s|/\*km0ae9gr6m\*/.*?/\*qhk6sa6g1c\*/||gs’

Eğer sadece etkilenen dosyaları listeyip bir dosyaya yazdırmak isterseniz aşağıdaki komutu kullanabilirsiniz , sonrasında etkilenenler.txt isimli dosyayı inceleyebilirsiniz.

grep -ir km0ae9gr6m  /var/www/vhosts/* > etkilenenler.txt

Ayhan ARDA

 

Share Button

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

This site uses Akismet to reduce spam. Learn how your comment data is processed.