emrenogay adlı üyeden alıntı: mesajı görüntüle
Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

# /root/scripts/ctKillProc.sh
#!/bin/sh
while true; do
find / -iname kdevtmpfsi* -exec rm -fv {} \;
find / -iname kinsing* -exec rm -fv {} \;
processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
echo $processId
kill -9 $processId
echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
sleep 20
done
exit 1
meraklısına detaylar;
https://dreyand.rs/code/review/2024/...6-pre-auth-rce
Hocam bu kodu nasıl çalıştırabiliriz. Biraz daha detaylı bilgi verebilir misiniz. Benim acizane 1 serverım vardı. O da etkilenmiş. Şu an %100 cpu kullanımı