Bloqueando los ataques más básicos

En las tareas rutinarias de revisión de los logs, podemos encontrar intentos de acceso por fuerza bruta en el servicio de correo, ssh, ftp, y logs en apache de los scanners más comunes buscando por rutas concretas de foros phpbb, mysqladmin, etc…

Una solución muy cómoda y rápida para bloquear los ataques más básicos es fail2ban que revisa los logs en busca de expresiones regulares que definimos para bloquear IPs.

En nuestro caso vamos a bloquear las ips que están generando errores 404 en apache, es decir están itentando consultar páginas que no existen.

Como es habitual tenemos un script de copiar y pegar para instalar fail2ban y agregar nuestra regla :

apt-get --yes install fail2ban

cat > /etc/fail2ban/filter.d/apache-404.conf << EOF
##
## http://www.hostingaldescubierto.com
## stop web scanners
##
## Bassed on : http://blog.barbarycodes.com/2010/10/06/automated-banning-of-script-kiddies-with-fail2ban/
##
##
[Definition]
failregex = (?P<host>[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}) .+ 404 [0-9]+ "
ignoreregex =
EOF

cat >> /etc/fail2ban/jail.conf << EOF
[apache-404]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache2/access.log
bantime = 3600
findtime = 60
maxretry = 5
EOF

/etc/init.d/fail2ban restart

Esperamos que os sirva y que os quite algunos dolores de cabeza 😀

Usando Horde con safe_mode para enviar por smtp y no usar sendmail

Seguramente esté muy documentado ya por ahí pero es muy recomendable dejar de usar horde bajo sendmail con el fin de securizar la máquina. Con el cambio que comentamos a continuación, evitamos tener que ejecutar comandos en la máquina local, ya que el correo lo enviamos vía smtp al servidor local o a cualquier otro servidor que configuremos.

Resumen rápido:

Deshabilitamos la mayor parte de funciones potencialmente peligrosas para el sistema.
Esto implica que fallen algunas aplicaciones, como Horde

 
# /etc/php5/apache2/php.ini) 
disable_functions = system,passthru,readfile,escapeshellarg,proc_close,proc_open,ini_alter,dl,show_source,curl_exec

La alternativa elegante sería activar safe_mode y dejar de usar sendmail, como vemos en el fragmento de la configuración de Horde:

# fragmento de la configuracion de horde 
# /etc/psa-webmail/horde/horde/conf.p
if (ini_get("safe_mode") == "1") { // Safe mode in action
$conf['mailer']['params']['host'] = '127.0.0.1';
$conf['mailer']['params']['port'] = 25;
$conf['mailer']['params']['auth'] = false;
$conf['mailer']['type'] = 'smtp';
} else {
$conf['mailer']['params']['sendmail_path'] = '/usr/sbin/sendmail';
$conf['mailer']['params']['sendmail_args'] = '-oi';
$conf['mailer']['type'] = 'sendmail';
}

En Plesk10 se han definido plantillas para los servicios de forma que aunque cambiasemos los ficheros de configuarción de apache estos cambios se terminarían machacando y volveríamos al estado por defecto.

Para ello, Plesk ha provisto un repositorio de plantillas para configurar los servicios en /usr/local/psa/admin/conf/templates/

Para reconfigurar la plantilla tenemos aqui un copy&paste muy cómodo, como siempre nos gusta:

# reemplazar safe_mode en la plantilla
sed -i 's/safe_mode off/safe_mode on/g' /usr/local/psa/admin/conf/templates/default/horde.php
# reconfigurar las plantillas
/usr/local/psa/admin/bin/httpdmng --reconfigure-server
# recargar el servicio
apache2ctl graceful

Para probarlo es necesario cerrar la sesión de Horde y volver a autenticarse.

Plesk Fallo crítico de seguridad: SQL Injection

Se ha notificado desde Parallels a todos los clientes de que existe un fallo grave de seguridad que permitie la inyección de código SQL que afecta a algunas versiones antiguas de Plesk . Las versiones afectadas son :

  • Linux – Plesk 10.3.1
  • Linux – Plesk 9.5.4
  • Linux – Plesk 8.6.0
  • Windows 10.3.1
  • Windows Plesk 9
  • Windows Plesk 8

Se han publicado parches para solucionar estos problemas. Instalando los microupdates se corrije el problema, excepto en las versiones para Windows Plesk 9 y Windows Plesk 8 que se han publicado parches específicos en este enlace :

How to fix vulnerability in Plesk 8.6, 9.3, and 9.5 for Windows

Para las versiones linux se puede ejecutar este comando para actuailzar la distribución:

/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

Y por último si queremos verificar la versión de nuestra instalación lo podemos comprobar así:

cat /usr/local/psa/version

No hace falta decir que es crítico actualizar el sistema.

Fallos de seguridad

Comprueba si tus sistemas están al día. Importantes fallos de seguridad en Apache y Rails han sido descubiertos y publicados, así como sus correspondientes parches.

En Apache se ha descubierto una vulnerabilidad que permite realizar un ataque de denegacion de servicio y en rails es posible realizar XSS y SQL Injection.

A continuación más detalles :

Apache: http://www.debian.org/security/2011/dsa-2298

CVE-2010-1452, CVE-2011-3192.

Rails: http://www.debian.org/security/2011/dsa-2301

CVE-2011-2930, CVE-2011-2931, CVE-2011-3186, CVE-2009-4214.

[plesk] Fallo de seguridad en bind para Plesk Windows

Vía newsleter de Parallels, se nos informa de una vulnerabilidad de BIND que puede provocar una denegación de servicio ( DOS ) causado por la recepción de una mensaje de actualización específicamente diseñado

Para evitar esta vulnerabilidad que afecta a Bind 9.7.1 ( Parallels Plesk Panel 9.5 for windows ) y y 9.7. ( Parallels Plesk Panel 10 for windows ) deben ser actualizados a Bind 9.7.3 immediatamente.

La vulenariblidad se detalla en :

https://www.isc.org/software/bind/advisories/cve-2009-0696

Detalles de como actualizar BIND para Plesk Windows en http://kb.parallels.com/5542

Parallels está preparando un parche para liberarlo próximamente.

[plesk] Parallels Plesk Panel 10: Fallo de seguridad permite cambiar el pass de Admin

Nueva nota de Parallels que nos informa de la liberación de micro-updates para corregir fallos de seguridad. En este caso parece estar relacionado con le cambio de password del usuario admin. Según indican el fallo permitiría cambiar el password del usuario admin usando un usuario de autorizado de Plesk ( un usuario del sistema ).

Dear Parallels Plesk Panel Customer,

Parallels has issued a security hotfix to Parallels Plesk Panel 10.0.1 through the Micro-Updates system.

It is referenced as MU#2 – Plesk admin password changing.

The Micro-Update delivers bug fix for a vulnerability that could allow authorized Plesk users to change Plesk ‘admin’ password and then compromise Control Panel.

For instructions on implementing Micro-updates, please refer to:

http://kb.parallels.com/en/9294 – Using Micro-Updates in Parallels Plesk Panel 9.x, 10.x and Parallels Small Business Panel.

For instructions on upgrading from the panel, please refer to the Administrator Manual at:

http://download1.parallels.com/Plesk/PP10/10.0.1/Doc/en-US/online/plesk-administrator-guide/index.htm?fileName=59215.htm

This notification is made pursuant to our development policy of notifying users when critical security issues arise and making fixes available as soon as possible. Please ensure that this patch has already been applied as soon as possible.

Parallels Plesk Panel Team

[plesk] Fallo de seguridad en proftpd II

Otra nota oficial de Plesk, indica que las versiones afectadas son Plesk 9.5.x , Plesk 10 y Parallels Small Business Panel 10.2.

Parallels strives to deliver solutions to potential vulnerability issues of component parts as soon as they are identified.  Please pay attention to this notification as it contains an Important Security Notification. More information can be found on the Parallels website, by visiting: http://www.parallels.com/products/plesk/proftpd 

Affected Products: Parallels Plesk Panel 9.5x and 10 include this vulnerability (no prior versions included this version of the component). Parallels Small Business Panel 10.2 is also affected.

Details of the Vulnerability or Exploit:  A flaw in ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.
ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application’s stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.

Fixes for the Vulnerability or Exploit: Parallels has used its micro-update patch functionality in Plesk 9.5x and 10.x to fix this exploit. You can run the Parallels AutoInstaller to fix this or check the Updates section of your Plesk Panel 9.5x or 10.x to fix this. This is a file-replace, as opposed to a new install so it will be quick and reliable. To find this in the GUI:

  • Parallels Plesk Panel 9.5x: “Home” -> “Updates” -> Select the Panel version which has updates -> click “Install” ?
  • Parallels Plesk Panel 10.x:“Server Management” -> “Tools & Utilities” -> “Updates” -> “Update Components” -> click “Continue”

These ProFTPD fixes are also available from the Parallels AutoInstaller for Plesk 9.52, 9.53, and Plesk 10.01. You should already have downloaded this as part of Plesk. Use:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller

Or use the following parameters:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base

The patch for Parallels Small Business Panel 10.2 will be posted by 12 noon GMT on Friday November 12, 7am EST in the US)
 
If you have any concerns or need assistance applying these patches to your system, please contact us at:
http://www.parallels.com/support/plesk/free10assistance_toc/ . A valid Plesk license key is required.

Thank you for your attention to this important matter.

The Parallels Plesk Panel Team