Öncelikle herkese geçmiş olsun. Cpanel update yapılmayan bir sunucumuzda bizde ciddi mağduriyet yaşadık yedekler olması durumu kurtardı ama cpanel patch, update sonrası sorunların net şekilde devam ettiğini gördük. Sebebi ise bir çok yolağa atılan backdoorlar. Eğer bu backdoorlar temizlenmezse güncelleme ile sadece token yani ana giriş yolağını çözmüş olursunuz.
.
Net konuşayım: Patch tek başına yeterli DEĞİL.
1. Önce Durumu Kontrol Edin
Öncelikle sunucunuzun güvenli sürümde olup olmadığını kontrol edin. Resmi dökümana göre patchli sürümler bunlar:
- 11.136.0.5 ve üzeri
- 11.134.0.20 ve üzeri
- 11.132.0.29 ve üzeri
- 11.130.0.19 ve üzeri
- 11.126.0.54 ve üzeri
- 11.118.0.63 ve üzeri
- 11.110.0.97 ve üzeri
- 11.86.0.41 ve üzeri
2. Patch Neyi Yapıyor, Neyi Yapmıyor?
Uyguladığınız yama, update sadece kapıyı kilitliyor. Yani saldırganın içeri girmek için kullandığı o ilk açığı kapatıyor. Ancak saldırgan içeri bir kez girdiyse, kapının altından anahtarı çoktan halının altına bırakmış oluyor.
Yama sonrası yaptığımız analizlerde, saldırganların patch sonrasında bile sistemde tam yetkiyle at koşturabildiği 3 ana kalıcı backdoor tespit ettik:
1-WHM-API Token: Saldırgan kendine tam yetkili bir API token oluşturuyor. Bu meşru bir mekanizma olduğu için yama buna dokunmuyor.
2-Accesshash (/root/.accesshash): Bu dosya üzerinden kök yetkili API erişimi sağlamaya devam ediyorlar.
3-Sahte Reseller Hesabı: Tam yetkili bir reseller hesabı açıp normal login yoluyla içeri sızıyorlar.
Loglara detaylı bakınca sistemde çalışıtılan script tam olarak şunları yapmış bizde:
- OIDC Tetikleme: /openid_connect/cpanelid (Yönlendirme başlatılır).
- Bypass Denemesi: POST /login?login_only=1 (Hatalı şifre bile olsa bypass burada gerçekleşir).
- Versiyon Öğrenme: GET /json-api/version (Versiyon kontrolü patcchsiz sürüm arıyor).
- Token: POST /json-api/api_token_create (Ana Backdoor)
- Veri Sızdırma: GET /json-api/listaccts ( hesapların listelenmesi).
- Kalıcılık (Hash): GET /scripts/setrhash (İkinci arka kapı - Root yetkili API key).
- Hesap Açma: GET /json-api/createacct username=sptadm (Sahte kullanıcı).
- Reseller Ataması: GET /json-api/setupreseller (Kullanıcının yetki grubunu değiştirme).
- Full Yetki: GET /json-api/setacls acllist=all (Tüm yetki kısıtlamalarını kaldırma).
- Sınırsız Kaynak: GET /json-api/setresellerlimits (Kaynak limitlerini devre dışı bırakma).
- Güncelleme kilitleme : Sistemde şu durumla karşılaştık, sebebi belirsiz ama etkisi saldırı ile uyuşuyordu. (%100 saldırı ile ilgili demiyorum ama kontrol edilmeli)
/etc/cpupdate.conf dosyasını UPDATES=never yaparak güncellemeleri tamamen kapatıyor.
chattr +ia komutuyla bu dosyayı root kullanıcısının bile değiştiremeyeceği şekilde (immutable) kilitliyor.
Sistemdeki chattr binary'sini siliyor
Böylece siz config dosyasını düzeltmeye çalışınca "Operation not permitted" hatası alıyorsunuz, kilidi kaldırmak için chattr -i yazıyorsunuz ama sistem komut bulunamadı diyor. Tam bir kısırdöngü ama bununla ilgilid etaylı log göremedik. Sadece güncelleme kilidini görünce tahmin yürüttük. Senaryo ile uyumlu çünkü.
3.Uygulanması Gerekenler
Resmi IOC Scriptini Çalıştırın
cPanel'in yayınladığı tespit scriptini indirin ve çalıştırın. Bu script şüpheli session dosyalarını avlar. Cpanel duyurusunda zaten mevcur.
Manuel Temizlik ve Sıfırlama
Aşağıdaki komutlarla saldırganın geride bırakmış olabileceği anahtarları imha edin:
1) Eski tip erişim hash'ini silin
2) Şüpheli API token'ları listeleyin ve silin.
3) Reseller hesaplarını kontrol edin. Şüpheli bir hesap (örn: bizdeki adı sptadm dı) varsa direk kapatın.
4) Tüm aktif session'ları ve pre-auth dosyalarını temizleyin
5) Root ve tüm cPanel kullanıcı şifrelerini toplu sıfırlayın
Tarama
Biz Bunları kullandık ama siz daha farklı ve daha büyük ölçekli araçlar kullanabilirsiniz.
1. rkhunter — rootkit taraması
2. chkrootkit — ikinci rootkit kontrolü
3. maldet — Linux Malware Detect
4. ClamAV — dosya bazlı antivirus taraması
5. Imunify360
24 saatlik uykusuzluk sonucu birkaç arkadaşla birlikte kendimizce tespitlerimiz bunlar. Elbette daha farklı durumlar veya yanlış analiz ettiğimiz kısımlar vardır. Sadece genel bir bilgilendirme yapmak istedim.
Sağlıcakla kalın
