Grave vulnerabilidad en PLESK.

Parece ser que alguien con mucho tiempo libre, conocimientos y muy pocos escrúpulos a vendido por 8.000$ un exploit 0-day que permite obtener los passwords de todas las cuentas de un servidor que tenga instalado Plesk. Las versiones afectadas son todas hasta la 10.4.4 y se desconoce si la 11 que está recien salida de su fase beta está afectada también.

Plesk es una herramienta usada por miles de servidores para la gestión de clientes y alojamiento web, por lo que el impacto de este exploit puede ser bastante grave. Además cuenta con el añadido de que los servidores pudieron verse comprometidos hace varios meses y no haber sido atacados todavía ya que el exploit lo que permite es la revelación de las claves de acceso. Esto nos lleva a deducir que incluso cuando salga el parche para solucionar el exploit, algunos servidores podrían verse comprometidos ya que fueron explotados con anterioridad.

El bicho en cuestión parece que utiliza como vector de entrada una inyección de código malicioso, usando el Filemanager de Plesk, al final de varios archivos javascript usados por el sistema. El script está acotado por un par de comentarios al principio y al final del código.

/*km0ae9gr6m*/…/*qhk6sa6g1c*/  

Afortunadamente para los admins de TI que tengamos que bregar con la posibilidad de tener un servidor comprometido, estas cadenas nos dan una posibilidad de búsqueda para determinar la existencia del exploit bastante sencilla:

grep -rl --include=*.{php,js,html,htm} "km0ae9gr6m" *

Basta con ejecutar el comando de arriba en la ruta /var/www/vhosts para determinar la existencia de dicha cadena y por tanto la del exploit en nuestro servidor.

En el caso de ser uno de los agraciados con el premio, se recomienda proceder inmediatamente al cambio masivo de contraseñas, procedimentado en la knowledge base de Plesk y proceder a la desactivación del Filemanager con una solución tan poco elegante como efectiva:

cd /usr/local/psa/admin/htdocs/filemanager/

mv filemanager.php filemanager._hp

Y a esperar el parche... Esperemos que no se lo piensen tanto como nuestros amigos de Oracle para solucionar la vulnerabilidad del ping de la muerte en sus bases de datos descubierta en el 2001.

Para finalizar si eres un Webmaster de una página web, no tienes acceso a la consola y te preocupa si tu administrador no está haciendo lo que toca para saber si puedes estar infectado o no, te recomiendo no haber leído el post :)

Venga va seremos buenos y te comentaré que puedes visitar la página de diagnósticos de google e introducir en la URL tu dirección web. Google te comentará si ha encontrado trazas de algún software malicioso la última vez que pasó a visitarte su araña.

Prelink, en Plesk con CentOS

Recientemente me ha escrito mi amigo cron para informarme que en un servidor de reciente instalación, con Plesk y Centos, le sucede un problema con algo llamado prelink. Concretamente esto:

/etc/cron.daily/prelink: line 45: 
/etc/cron.daily/prelink: line 46: /var/log/prelink/prelink.log: No such file or directory
/etc/cron.daily/prelink: line 47: /var/log/prelink/prelink.log: No such file or directory


La solución fue bastante obvia. Tan solo hacia falta crear el directorio prelink en /var/log y asignarle los permisos adecuados (700), pero gracias a esto he descubierto lo que intenta prelink realizar.

Parece ser que prelink ya tiene su tiempo y yo sin saber de su existencia, como tantas muchas cosas afortunadamente para mi. Así que ni corto ni perezoso he procedido a su instalación en mi portátil que cuenta con esta maravillosa distribución llamada Arch Linux. Para ello tan sólo hay que buscar la página de prelink en el Wiki de Arch.

Básicamente lo único que hay que hacer es instalar el paquete:

pacman -S prelink

Prelink tiene un archivo de configuración en /etc/prelink.conf que si examinamos, tan sólo contiene las rutas a las librerias que queramos 'acelerar'.

Eso sí, ojito con el espacio en disco, porque como pone en el Wiki, si te quedas sin espacio mientras está prelink haciendo sus cositas, lo más probable es que te quedes sin sistema.

La pregunta que me hago es si, prelink realmente acelera de manera apreciable la carga de aplicaciones. Si mi curiosidad no me permite vivir sin saberlo será motivo para otro post de benchmarking.

Multando voy, multando vengo, por el camino yo me entretengo

En estos días de crisis a muchos de nuestros políticos municipales, en un ansia viva por la seguridad vial de todos sus conciudadanos, les ha dado por poner radares en cada rincón de las ciudades que cortijan. En Alicante, el próximo día 2 se ponen en marcha tres nuevos radares más que se suman a la constelación ya existente. Toda una inversión en estos momentos en los que la tijera va que vuela.

Preocupado porque uno de estos bichos se encuentra en una vía que transito muy frecuentemente y dado que su ubicación responde a un interés recaudatorio palmario, me desvelé pensando en la rabia que me daría verme multado y posiblemente embargado, ya que de todas todas me iba a negar a pagar. Fruto de ese insomnio ocasional (suelo dormir a pierna suelta) pensé en una solución práctica y barata.

En primer lugar se me vino a la cabeza comprar un Radator de esos que venden en las teletiendas. Desde luego los appliances realizan muy bien su trabajo. Están diseñados para una función específica y por eso son muy eficientes en lo que hacen. Por otro lado es un cacharro más en el coche, valen una pasta y yo tiendo a buscar la polivalencia en todos los cacharros que adquiero, por lo que enseguida deseché la idea.

Luego pensé que teniendo un teléfono con Android y existiendo Radardroid el problema estaría solucionado, pero enseguida me di cuenta de que no iba a ser tan simple. Para que la cosa funcionase, o tenemos siempre en ejecución Radardroid o tendríamos que acordarnos de ejecutarlo cada vez que subiéramos al coche. La primera opción la descarté de inmediato ya que la versión gratuita de Radardroid no se ejecuta en background y aunque fuera el caso, el gps nos chuparía la batería a la misma velocidad en que mi hijo devora un cola-cao. La segunda opción me dió la risa, ya que si de mi depende el que me acuerde de arrancar una app cuando voy a subir al coche, la probabilidad de que Radardroid me avise alguna vez oscila entre cero y nada.

Entrando en fase R.E.M., que es cuando tienes las mejores ideas, me vino a la cabeza la solución perfecta. Si cada vez que entro en el coche, mi teléfono se vincula y conecta por bluetooth al manos libres, tengo una manera de automatizar la tarea. Tan sólo hay que ejecutar Radardroid cuando el teléfono detecte la conexión por bluetooth del coche. Programar una app para eso o incluso crear un cutre-script para esa misión sería relativamente fácil. Así que con el problema casi resuelto me deje llevar por Morfeo hasta el día siguiente.

Por la mañana, pensando como hacer este app, pulsé en el Google Play e introduje 'Bluetooth Launcher' y voilà! allí estaba la maravillosa app lista para ser descargada. No hacia falta programar nada. Alguien ya había pensado en el problema y había desarrollado la solución.

Una vez descargada, la configuración es realmente sencilla

De la lista de dispositivos BT se elige al que se desea asignarle la acción

Se escoge la app a ejecutar, en mi caso, Radardroid

Y se le indica que por favor, la ejecute automáticamente. Y listo, ahora cuando entro en mi coche y mi teléfono se conecta al BT se lanza automáticamente Radardroid y me avisa de cualquier radar que haya en el camino. No es un appliance, pero funciona como tal y coste cero que en estos tiempos que corren se aprecia aún más.

Nota:

Si, como yo tienes un manos libres en el autoradio y no dispone de A2DP, el móvil se vinculará, pero no oirás los avisos de Radardroid ya que generalmente uno va escuchando la radio o el mp3. Para solucionarlo tan solo hay que ir a Ajustes de Bluetooth en el móvil, seleccionas Opciones...

Y desmarcas la casilla Multimedia. De esta manera Radardroid te avisará por el altavoz del teléfono.

Actualización 18/07/2012

La semana pasada compré la versión premium de Radardroid por 5,99 euros y él sólito se abre y se cierra cuando detecta la conexión bluetooth del coche. A parte de traer muchas más opciones que lo hacen una app estupenda sólo por eso ya vale la pena pagar la versión premium no?