Źródła zbliżone do dobrze poinformowanych podają, że w ciemnych zaułkach sieci osoby chcące pozbyć się ośmiu tysięcy dolarów mogą wymienić je na sposób łatwego pozyskania hasła administratora konsoli zarządzania Pleskiem w wersji 10.4.4 lub starszej, popularnym oprogramowaniem serwisów hostingowych. Informacje te poparte zostały kilkoma dowodami.
Nowa fala ataków polegających na wstrzyknięciu ramki do istniejącego serwisu internetowego objęła już co najmniej 50 tysięcy witryn. Analiza wskazuje, że korzystają one z bardzo różnorodnego oprogramowania, a cechą wspólną jest otwarty port 8443, kojarzony z Pleskiem. Dodatkowo niektóre analizy wskazują, że ofiarami włamywaczy padają również strony oparte na statycznym kodzie HTML, co wskazuje na inną drogę ataku niż błędy w Wordpresie czy Joomli.
Oferta sprzedaży exploita (źródło: KrebsOnSecurity.com)
Drugim mocnym argumentem za problemem z Pleskiem są statystyki publikowane przez SANS Internet Storm Center dla portu 8443, który jest domyślnym portem, pod którym dostępny jest interfejs Pleska. Widać na nich, ze w ostatnich dniach aktywność na tym porcie jest dużo większa od średniej.
Statystyki skanowania portu 8443
Przy okazji na wykresie można zobaczyć dość wyraźnie zaznaczone wszystkie dziury, odkryte w Plesku w tym roku.
Wszystkim użytkownikom Pleska polecamy regularną kontrolę zawartości plików na serwerze, a administratorom możemy zalecić chyba tylko tymczasowe wyłączenie dostępu do usługi do czasu opublikowania łaty przez producenta.
