emrenogay adlı üyeden alıntı: mesajı görüntüle
Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

# /root/scripts/ctKillProc.sh
#!/bin/sh
while true; do
find / -iname kdevtmpfsi* -exec rm -fv {} \;
find / -iname kinsing* -exec rm -fv {} \;
processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
echo $processId
kill -9 $processId
echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
sleep 20
done
exit 1
meraklısına detaylar;
https://dreyand.rs/code/review/2024/...6-pre-auth-rce
Panel ve ssh port değiştirmiş miydiniz?