Daboweb | Seguridad y ayuda informática |

Hace unos días os informamos sobre la herramienta que Parallels a puesto a disposición de los usuarios para comprobar si sus paneles de administración web son vulnerables a varios bugs localizados hasta la fecha.

Hoy nos hacemos eco del aviso de seguridad que han hecho llegar a través de su lista de correo con el siguiente contenido para paneles Plesk 10.4.4 y anteriores (fuente y más información):

Parallels ha publicado un nuevo conjunto de microactualizaciones críticas para determinadas versiones de Parallels Plesk Panel 10.4 o versiones anteriores para así proporcionar correcciones funcionales y mejorar la estabilidad y seguridad – incluyendo componentes de terceros. La finalidad de esta notificación es animar a todos los clientes a aplicar estas microactualizaciones a la mayor brevedad posible.

Las versiones afectadas van desde la 8.2 hasta la 10.4 y es más que necesaria su inmediata actualización.

Desde hace unos meses, estamos viendo como los ataques, bien por vulnerabilidades «0 Day» o ya publicadas, hacia servidores web con paneles de administración Plesk van en aumento..

Una forma sencilla de saber si tu panel es sensible a los últimos bugs que le afectan (ENG, sirva como ejemplo y algunos solventados de forma poco transparente en forma de «microupdates») es instalando y ejecutando este sencillo script en PHP que ha realizado Parallels (ENG).

Como recomendación, caso que el resultado revele que está pendiente de actualizar, además de aplicar el parche lo antes posible, frente a posibles intrusiones en días anteriores, es conveniente cambiar todos los passwords de acceso al propio Plesk, cuentas FTP, MySQL, etc.

Si estamos en la tesitura de tener un servidor (puede ser un VPS o un dedicado) y querer migrar a otro nuevo, pero nos da mucha pereza el tener que realizar todo el proceso a mano (copiando las distintas webs, configuraciones, backups de bases de datos e insertandolas en el nuevo servidor) y además contamos con que el servidor tanto de origen como de destino esta gestionado por Plesk, entonces lo tenemos facil. Utilizaremos la utilidad de migración que viene en el panel de control. Esta utilidad lo que hace es un backup de toda (o casi toda) información de los diferentes dominios: configuraciones, cuentas de correo, correos, etc.

Para realizar la migración debemos realizar estos pasos:

En el servidor antiguo, permitimos el acceso a root vía ssh (que como buen administrador tendrás deshabilitado).

En el Plesk del nuevo servidor, nos vamos a la opción de Administrador de migraciones que se encuentra en el apartado de Sistema.

Iniciamos una Nueva Migración, introducimos la ip y la contraseña de root y pulsamos el botón de iniciar la migración. Listo, ahora esperamos hasta que el proceso se migre y migración terminada.

Puede ser que al intentar realizar la migración de un fallo tipo:

ERROR: PleskFatalException Up LevelUp Level Unable get localhost file system: Unable to get local file system description: Unable to run ‘getfs »’: <?xml version=»1.0″?>

0: /usr/local/psa/admin/plib/common_func.php3:154
psaerror(string ‘Unable get localhost file system: Unable to get local file system description: Unable to run ‘getfs »’: <?xml version=»1.0″?>’)
1: /usr/local/psa/admin/plib/PMM/MigrationUploadScout.php:537
MigrationUploadScout->getLocalHostFSList()
2: /usr/local/psa/admin/plib/PMM/MigrationUploadAgentForm.php:72
MigrationUploadAgentForm->assign(object of type MigrationUploadScout)
3: /usr/local/psa/admin/htdocs/server/PMM/main.php:29

Este fallo, simplemente es un bug un tanto curioso, ya que uno de los datos que se utiliza para la migración se consigue mediante el comando ‘df’ y haciendo una busqueda por una cadena de caracteres en concreto en ingles, entonces se puede dar el caso de que dicho comando devuelva la información en castellano, por lo que la cadena no es encontrada y presenta el error.

Para arreglarlo, basta con poner lo siguiente en el fichero /etc/sysconfig/i18n del servidor destino:

LANG=»C»
LC_CTYPE=»C»
LC_NUMERIC=»C»
LC_TIME=»C»
LC_COLLATE=»C»
LC_MONETARY=»C»
LC_MESSAGES=»C»
LC_PAPER=»C»
LC_NAME=»C»
LC_ADDRESS=»C»
LC_TELEPHONE=»C»
LC_MEASUREMENT=»C»
LC_IDENTIFICATION=»C»
LC_ALL=

Ahora solo falta reiniciar el servicio psa (/etc/init.d/psa restart) para que los cambios surtan efecto (también, para el usuario que está por ssh con salir de la sesión y volver a entrar ya surte efecto).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias