iki tane farklı sunucu firmalarında linux vds sunucularımız mevcut. İki taraftaki sunucularında cpanel lisanları aynı yerden alındı hatta lisan sürümleride aynı. Şimdi birinci firmadaki sunucuda bu cpanel açığından kaynaklı bir veri kaybı sorunu yaşamadık sadece günlük kesintiler oldu, hatta kötü ihtimale karşı yedeklerinin bulunduğuna dair mail attılar. Diğer firmada ise sunucu lisans vs herşey patladı içerde onlarca site gitti. Firmada sürekli sorun bizden kaynaklı değil sunucu sizin yönetiminizdedir gibi cümleler yazıp durdu. Tamam buraya kadar çok haklısın sorun yok. Ancak sorun şu siteler lisanslar çalışırken bugün sunucuya hiçbir türlü giremedik. Sürekli şifre değişiyordu ve bir türlü yedek alamadık. Tamam vds sunucu aldım yönetim bende okey de kardeşim sunucuya giremiyorum sorunu nasıl yöneteceğim? Veya destek talebine 10 saat sonra dönüyorsun o esanada senden gerekli bilgileri alamazsam nasıl aksiyon alcağım? Şimdi size soruyorum hangi firmanın yaptığı doğru sizce?

Şimdi kim suçlu? - Sayfa 2

01-05-2026, 02:21:12

#10

VDS VPS lerde yedekler ücretli olur genelde ama sunucu firmasının satış politikasına göre değişkenlik gösterir.
Bu tarz durumlar için raid yapılandırması olur raidten kurtarma yapılır.
Raid maliyetli işlem olduğu için min config ile geçiştiriyorlar veya hakkıyla yapan biride tam yapabiliyor.
Raid-0 1 5 6 10 v.s. şeklinde çeşitli yöntemleri var.

01-05-2026, 02:22:11

#11

MeoHost

yaşadığınız kayıplar umarım son olur, maalesef dün ve bugün ortaya çıkan güvenlik açığı yüzünden bizlerimde onlarca sanal sunucusu bu saldırıya mağruz kaldı. Bu durum yedekleme açısından firmanın sorumluluğunda güvenlik kısmı ise sizin sorumluluğunuzda lakin firmanın sizi uyarması ve güncelleme ile alakalı bilgilendirme yapmasıda gerekirdi.
saldırının mantığını aşağıya yazıyoruz. kullanıcı 2087 portuna dogrudan inject ile giriyor. kullanıcı adı şifre denemesi yapmadan direk bağlantı kuruyor. ve şifreyi değiştirip tüm sunucuda silinse dahi tekrar gelebileceği bir yapı kuruyor.
bunun ile alakalı ücretsiz bir güvenlik katmanı paylaşacağız. umarım en az kayıp ile bu saldırı atlatmışsınızıdr.

Saldırgan -> https://server:2087/<bir-endpoint>
Authorization: Basic <base64-içine-CRLF-enjekte-edilmiş>
Cookie: whostmgrsession=<manipule>
↓
cpsrvd (cPanel daemon)
↓ pre-auth aşamasında session dosyası yazılıyor
↓ Authorization header'dan gelen rn sanitize EDİLMİYOR
↓ saldırgan session dosyasına "user=root" satırı enjekte ediyor
↓ whostmgrsession cookie ile o session yükleniyor
Sonuç: ŞİFRESİZ ROOT ERİŞİM (auth bypass)

01-05-2026, 02:23:30

#12

Hsiyem

MeoHost adlı üyeden alıntı: mesajı görüntüle

yaşadığınız kayıplar umarım son olur, maalesef dün ve bugün ortaya çıkan güvenlik açığı yüzünden bizlerimde onlarca sanal sunucusu bu saldırıya mağruz kaldı. Bu durum yedekleme açısından firmanın sorumluluğunda güvenlik kısmı ise sizin sorumluluğunuzda lakin firmanın sizi uyarması ve güncelleme ile alakalı bilgilendirme yapmasıda gerekirdi.
saldırının mantığını aşağıya yazıyoruz. kullanıcı 2087 portuna dogrudan inject ile giriyor. kullanıcı adı şifre denemesi yapmadan direk bağlantı kuruyor. ve şifreyi değiştirip tüm sunucuda silinse dahi tekrar gelebileceği bir yapı kuruyor.
bunun ile alakalı ücretsiz bir güvenlik katmanı paylaşacağız. umarım en az kayıp ile bu saldırı atlatmışsınızıdr.

Saldırgan -> https://server:2087/<bir-endpoint>
Authorization: Basic <base64-içine-CRLF-enjekte-edilmiş>
Cookie: whostmgrsession=<manipule>
↓
cpsrvd (cPanel daemon)
↓ pre-auth aşamasında session dosyası yazılıyor
↓ Authorization header'dan gelen rn sanitize EDİLMİYOR
↓ saldırgan session dosyasına "user=root" satırı enjekte ediyor
↓ whostmgrsession cookie ile o session yükleniyor
Sonuç: ŞİFRESİZ ROOT ERİŞİM (auth bypass)

ever olay ufacık r n kombinasyonundan meydana geliyor. Ufak bir deneme.

https://www.youtube.com/watch?v=N03u...ature=youtu.be

01-05-2026, 02:25:45

#13

codeillasoft

MeoHost adlı üyeden alıntı: mesajı görüntüle

yaşadığınız kayıplar umarım son olur, maalesef dün ve bugün ortaya çıkan güvenlik açığı yüzünden bizlerimde onlarca sanal sunucusu bu saldırıya mağruz kaldı. Bu durum yedekleme açısından firmanın sorumluluğunda güvenlik kısmı ise sizin sorumluluğunuzda lakin firmanın sizi uyarması ve güncelleme ile alakalı bilgilendirme yapmasıda gerekirdi.
saldırının mantığını aşağıya yazıyoruz. kullanıcı 2087 portuna dogrudan inject ile giriyor. kullanıcı adı şifre denemesi yapmadan direk bağlantı kuruyor. ve şifreyi değiştirip tüm sunucuda silinse dahi tekrar gelebileceği bir yapı kuruyor.
bunun ile alakalı ücretsiz bir güvenlik katmanı paylaşacağız. umarım en az kayıp ile bu saldırı atlatmışsınızıdr.

Saldırgan -> https://server:2087/<bir-endpoint>
Authorization: Basic <base64-içine-CRLF-enjekte-edilmiş>
Cookie: whostmgrsession=<manipule>
↓
cpsrvd (cPanel daemon)
↓ pre-auth aşamasında session dosyası yazılıyor
↓ Authorization header'dan gelen rn sanitize EDİLMİYOR
↓ saldırgan session dosyasına "user=root" satırı enjekte ediyor
↓ whostmgrsession cookie ile o session yükleniyor
Sonuç: ŞİFRESİZ ROOT ERİŞİM (auth bypass)

teşekkür ederim bilgi için. Umarım az kayıp yaşarız

01-05-2026, 02:51:33

#14

serterefendi

codeillasoft adlı üyeden alıntı: mesajı görüntüle

Peki çok güzel yerden yaklaştınız. Diyelim ki bu firma sitesinde satışı yaparken haftalık ücretsiz sunucu yedeği yazıp bu yedeklemeye dönemeyip yedeğin üstüne yazıyorsa yine de haklı mı oluyor

Selam olsun,

Elbette haklı olmuyor.
Yedekleme hizmete dahilse ve bunu sağlamıyorsa haksız taraf firma olur.
Hak verirsiniz ki ben sizin aldığınız hizmeti tahmin edemem

Konuda bu bilgi yazsa ona göre bu cevabı en başta yazarım tabi ki.