Brute-Force gegen Plesk Webinterface

**konabi** · 11.01.2010 11:54

Hi,

ich habe auf meinem Webserver verschiedene Brute Force Angriffe gegen die Weboberfläche von Plesk registriert. Hier ein Ausszug aus der
/usr/local/psa/admin/logs/httpsd_access_log

Code:

91.121.167.116 - - [08/Nov/2009:01:42:21 +0100] "POST /login_up.php3?login_name=admin&passwd=setup HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:23 +0100] "POST /login_up.php3?login_name=admin&passwd=test HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:25 +0100] "POST /login_up.php3?login_name=admin&passwd=setupsetup HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:27 +0100] "POST /login_up.php3?login_name=admin&passwd=test123test HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:30 +0100] "POST /login_up.php3?login_name=admin&passwd=setup123setup HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:32 +0100] "POST /login_up.php3?login_name=admin&passwd=nokia HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:34 +0100] "POST /login_up.php3?login_name=admin&passwd=testtest HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:36 +0100] "POST /login_up.php3?login_name=admin&passwd=123 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:38 +0100] "POST /login_up.php3?login_name=admin&passwd=1234 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:40 +0100] "POST /login_up.php3?login_name=admin&passwd=12345 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:42 +0100] "POST /login_up.php3?login_name=admin&passwd=123456 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:45 +0100] "POST /login_up.php3?login_name=admin&passwd=1234567 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:47 +0100] "POST /login_up.php3?login_name=admin&passwd=12345678 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:49 +0100] "POST /login_up.php3?login_name=admin&passwd=123456789 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:51 +0100] "POST /login_up.php3?login_name=admin&passwd=1234567890 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:53 +0100] "POST /login_up.php3?login_name=admin&passwd=0123456789 HTTP/1.1" 200 5809
91.121.167.116 - - [08/Nov/2009:01:42:55 +0100] "POST /login_up.php3?login_name=admin&passwd=wombat HTTP/1.1" 200 5809

Frage:

Gibt es noch eine anderes Logfile welches Fehlanmeldungen an Plesk protokolliert?
Ich könnte mir vorstellen fail2ban einzusetzen um diese Angriffe einzuschränken.

Hat jemand andere Vorschläge um Brute Force Angriffe auf Plesk zu unterbinden? Verwendete Plesk Version ist 8.3.0.

Danke
Sven

**harv** · 14.01.2010 13:21

Hi,

zunächst würde ich dir mal raten auf die neueste Version von Plesk zu Updaten und dann ein sicheres Kennwort zu wählen.

Sonst bleibt dir nur fail2ban.

**birnbaum** · 07.10.2011 12:30

Wenn ich hier mal einhaken darf:

Ich möchte genau das tun – das Plesk Panel mit fail2ban absichern. Aber ich finde nirgendwo etwas, wo das Panel fehlgeschlagene Logins loggt!
Auch im Action Protocol oder im Event-Handler suche ich den Punkt "Fehlgeschlagener Login" vergeblich.

Wohin loggt Plesk die fehlgeschlagenen Panel-Logins? Loggt es die überhaupt??
Ich verwende das Plesk Panel 10.1.1 (bzw die jeweils neueste Version, wenn ich in den Produktivbetrieb umgestiegen bin).

Brute-Force gegen Plesk Webinterface