According to KingCope, Plesk versions 9.5.4, 9.3, 9.2, 9.0 and 9.6 on three different Linux variants Red Hat, CentOS and Fedora are vulnerable to the hack. The exploit, as noted by the hacker, makes use of specially crafted HTTP queries that inject PHP commands. The exploit uses POST request to launch a PHP interpreter and the attacker can set any configuration parameters through the POST request. Once invoked, the interpreter can be used to execute arbitrary commands.

The exploit engineered by KingCope uses the requested URL to invoke the interpreter with the passed parameters and then the PHP code, residing in the data portion of the request, is executed. There is catch though – according to the hacker, the code only works where Plesk has been configured with the below configuration:

scriptAlias /phppath/ “/usr/bin/”

The access logs of server where the exploit is used would show the below entries:

POST /{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}68{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}74{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}68/{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}68{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70?{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}77{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}72{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}63{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}66{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}66{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}66+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}68{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}74{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}62{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}66{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}63{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}74{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}22{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}22+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}62{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}73{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}72{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}61{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}74{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}72{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}64{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}5F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}66{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6C{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}65{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}68{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}3A{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2F{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}69{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}70{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}75{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}74+{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}2D{b2f8038cca59418a55fa2a773bdd1308d9b98f2083b1773270b153fdacce5890}6E HTTP/1.1″ 200 203 “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)


  • pelias

    hello, how can I know if my server has been afected with this xploit? someone send this. I installed apache with apt-get of ubuntu 12 in january.