Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

#!/bin/sh
# do what you need to here
while true; do
find / -iname kdevtmpfsi* -exec rm -fv {} \;
find / -iname kinsing* -exec rm -fv {} \;
processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
echo $processId
kill -9 $processId
echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
sleep 20
done

sudo systemctl stop bot.service
sudo systemctl disable bot.service
sudo rm /lib/systemd/system/bot.service
sudo systemctl daemon-reload

sudo rm -f /etc/data/kinsing
sudo rm -f /etc/kinsing
sudo rm -f /tmp/kdevtmpfsi

exit 1
meraklısına detaylar;
https://dreyand.rs/code/review/2024/...6-pre-auth-rce