Plesk 11.5 – mit neuesten Updates, läßt das Ausprobieren von User/Passwörtern zu, ohne daß abzulehnen bzw. in Log-Files als unautorisierten Zugriff zu protokollieren! Im Gegenteil: Die Zugriffe werden mit 200 – alles OK protokolliert und sind daher auch nicht auswertbar!
Da ein Administrator in der Regel auch sich nur die Log-Files im Bereich von /var/log anschaut, wird auch nicht jeder Administrator dies rechtzeitig bemerken!
Daher sollte jeder Server-Administrator dringend folgende Log-Files prüfen:
/usr/local/psa/admin/log/httpsd_access_log
Die Log-File-Einträge sehen gut aus, sind aber Einbruchsversuche und kommen von verschiedenen IPs, aber in der Regel in einer Kette mit gleichen IPs – hier ein Beispiel aus unseren Log-Files eines Servers von vielen Plesk-Server von IP: 212.48.69.200 – mehrere 1000 mal!
212.48.69.200 – – [02/Sep/2014:19:56:54 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:56:58 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:56:58 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:57:01 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:57:01 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘