[ OK ]Initialisiere Kernel...
~/im/blog
Beauftragen

Lass uns reden

Gibt es ein Infrastrukturproblem oder wird Unterstützung bei einem Projekt benötigt? Ich stehe für neue Aufgaben zur Verfügung.

Kontakt aufnehmen

Netzwerke

Hier bin ich online zu finden.

© 2026 Irfan Miral. Alle Rechte vorbehalten.Entwickelt vonIrfan Miral
DatenschutzerklärungAGB
StartDiensteLebenslaufBlogKontaktTools
2024-10-30• 5 Min. Lesezeit

CyberPanel-Sicherheitsvorfall: Malware-Bereinigung und Server-Hardening

Security CyberPanel Linux Administration Server Security

Werbung

Ende Oktober 2024 erlaubte eine kritische Schwachstelle in CyberPanel (CVE-2024-51567) Angreifern, Befehle als root ohne jegliche Authentifizierung auszuführen. Der Fehler lag in der Art und Weise, wie der upgrademysqlstatus-Endpunkt des Panels Anfragen verarbeitete.

Innerhalb weniger Tage scannten automatisierte Würmer das gesamte Internet und luden Ransomware auf ungepatchten Servern ab. Ein paar Kundenserver, die ich betreue, liefen mit CyberPanel und wurden getroffen, bevor ich den Patch einspielen konnte.

CyberPanel-Sicherheitslücke

Wie die Bereinigung aussah

Der allererste Schritt auf jedem betroffenen Server war, die Maschine vom Netz zu nehmen – oder zumindest jeglichen eingehenden Traffic an der Firewall zu blockieren, bevor ich irgendetwas anderes tat. Man will auf keinen Fall, dass eine aktive Infektion weiter "nach Hause" funkt, während man noch arbeitet. Von dort aus:

  • /usr/local/lscp und die Web-Roots auf fremde Dateien und kürzlich geänderte Zeitstempel (Timestamps) geprüft.
  • Die abgelegten Malware-Binaries sowie die Cron-Einträge zur Persistenz gefunden und gelöscht.

Liste der beim Scan gefundenen infizierten Dateien

  • Die Datei /etc/crontab, User-Crontabs und systemd-Timer auf alles überprüft, was dort nichts zu suchen hatte.
  • Die authorized_keys auf injizierte SSH-Schlüssel kontrolliert und nach unerlaubt angelegten Benutzerkonten gesucht.

Weitere identifizierte infizierte Dateien

  • ImunifyAV über das gesamte Dateisystem laufen lassen, um alles abzufangen, was ich manuell übersehen haben könnte.

ImunifyAV Scan-Ergebnisse

Patchen und Hardening

Sobald jeder Server sicher bereinigt war, spielte ich den offiziellen CyberPanel-Patch für die Schwachstelle ein. Danach ging ich noch einen Schritt weiter:

  • ModSecurity mit dem OWASP Core Rule Set direkt vor das Panel geschaltet. Das fängt diese Art von Angriffen ab, selbst wenn künftig eine neue Lücke unentdeckt bleibt.
  • ImunifyAV so konfiguriert, dass geplante Scans laufen. So wird eine erneute Infektion innerhalb von Stunden statt erst Wochen später gemeldet.
  • CSF (ConfigServer Security & Firewall) komplett abgeriegelt, sodass nur noch die Ports und Quell-IPs Zugriff auf das Panel haben, die es zwingend benötigen.

Die Lektion aus dieser Geschichte

Der Admin-Port von CyberPanel (8090) sollte niemals für das gesamte Internet offen sein. Ihn auf ein VPN oder eine winzige Allowlist vertrauenswürdiger IPs zu beschränken, hätte genau diesen Wurm im Keim erstickt – unabhängig von der zugrunde liegenden Software-Schwachstelle.

Genau das ist die Änderung, die ich im Nachhinein auf jedem Server umgesetzt habe: Der Panel-Zugriff läuft ab sofort ausschließlich über ein VPN. Punkt.

Werbung

Brauchen Sie hierbei Hilfe?

Wenn Sie das Thema Server-Fehlerbehebung & Incident-Response lieber abgeben möchten – genau das mache ich beruflich.

Kontakt aufnehmen
Vorheriger6 Webhosting-Control-Panels, die man kennen sollteNächster Bash-Skripte, die ich auf jedem neuen Server wiederverwende