• 29-10-2024, 14:42:47
    #1
    Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

    Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

    #!/bin/sh
    # do what you need to here
    while true; do
    find / -iname kdevtmpfsi* -exec rm -fv {} \;
    find / -iname kinsing* -exec rm -fv {} \;
    processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
    echo $processId
    kill -9 $processId
    echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
    sleep 20
    done
    
    sudo systemctl stop bot.service
    sudo systemctl disable bot.service
    sudo rm /lib/systemd/system/bot.service
    sudo systemctl daemon-reload
    
    sudo rm -f /etc/data/kinsing
    sudo rm -f /etc/kinsing
    sudo rm -f /tmp/kdevtmpfsi
    
    exit 1
    meraklısına detaylar;
    https://dreyand.rs/code/review/2024/...6-pre-auth-rce
  • 29-10-2024, 14:50:28
    #2
    Kurumsal PLUS
    emrenogay adlı üyeden alıntı: mesajı görüntüle
    Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

    Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

    # /root/scripts/ctKillProc.sh
    #!/bin/sh
    while true; do
    find / -iname kdevtmpfsi* -exec rm -fv {} \;
    find / -iname kinsing* -exec rm -fv {} \;
    processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
    echo $processId
    kill -9 $processId
    echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
    sleep 20
    done
    exit 1
    meraklısına detaylar;
    https://dreyand.rs/code/review/2024/...6-pre-auth-rce
    Panel ve ssh port değiştirmiş miydiniz?
  • 29-10-2024, 14:50:52
    #3
    elinize sağlık hocam.
  • 29-10-2024, 14:52:37
    #4
    Geçmiş olsun. Artık arkamıza yaslanıp oh be diyeceğimiz hiç bir sistem kalmadı, sürekli diken üstünde herkes.
  • 29-10-2024, 15:10:53
    #5
    Arkasında ekip olan, sadece bir kaç kişiden ibaret olmayan ücretli kontrol panelleri tercih edin. Panellerin tamamı sorunsuzdur diye bir şey elbette yok, ancak bu tarz zafiyetler ücretsiz panellerde daha fazla gözlemleniyor. cPanel, Plesk, DirectAdmin halen popüler.
  • 29-10-2024, 15:11:40
    #6
    Ben aaPanele geçtim kafam rahat
  • 29-10-2024, 15:26:30
    #7
    CliaWeb adlı üyeden alıntı: mesajı görüntüle
    Arkasında ekip olan, sadece bir kaç kişiden ibaret olmayan ücretli kontrol panelleri tercih edin. Panellerin tamamı sorunsuzdur diye bir şey elbette yok, ancak bu tarz zafiyetler ücretsiz panellerde daha fazla gözlemleniyor. cPanel, Plesk, DirectAdmin halen popüler.
    IP Adresi fiyatına sanal sunucu satılınca insanlar panel maliyetlerini şişirme buluyor maalesef. Yine de bu zamana kadar iyi idare ettiler
  • 29-10-2024, 16:04:02
    #8
    Yaktı beni ya cpu 100 şuan vdsm etkilendi. Kapanmıyor da silinmiyor da. Akşam işten geldigimde temiz kurulum yapacağım mecbur
  • 29-10-2024, 17:02:33
    #9
    emrenogay adlı üyeden alıntı: mesajı görüntüle
    Selamlar, Leakix'in yayınladığı ve cyberpanel'in de kabul edip güncelleme yayınladığı önemli bir güvenlik açığı keşfedildi. Bu açık sunucunuzda root yetkiye sahip olmadan uzaktan kod çalıştırılabilmesine imkan sağlıyor. Müşterilerimin cyberpanel kurulu sunucularında bu açıktan faydalanıp "kdevtmpfsi" isimli kripto para kazıma yazılımının çalıştırıldığını fark ettim. Bu yazılım yüksek CPU kullanımına neden olurken donanım arızalarına da sebep olabiliyor. Cyberpanel bu zaafiyeti kapattığı bir güncelleme yayınlamış fakat şu an güncelleme scriptlerinde de hata olduğundan güncelleme yapılamıyor. Umarım işin sonu disklere format atmaya gitmez.

    Bu virüsten etkilenen sadece benim 21 müşterim var, güncelleme problemi giderilene kadar "kdevtmpfsi" isimli virüsün çalışmasını engelleyecek basit bi bash scirpt geliştirdim nohup ile çalıştırarak geçici süreliğine çözüm edinebilirsiniz.

    # /root/scripts/ctKillProc.sh
    #!/bin/sh
    while true; do
    find / -iname kdevtmpfsi* -exec rm -fv {} \;
    find / -iname kinsing* -exec rm -fv {} \;
    processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
    echo $processId
    kill -9 $processId
    echo "['`date +%Y%m%d%H%M`'] kdevtmpfsi killed."
    sleep 20
    done
    exit 1
    meraklısına detaylar;
    https://dreyand.rs/code/review/2024/...6-pre-auth-rce
    Hocam bu kodu nasıl çalıştırabiliriz. Biraz daha detaylı bilgi verebilir misiniz. Benim acizane 1 serverım vardı. O da etkilenmiş. Şu an %100 cpu kullanımı