~/im
Kontakt aufnehmen

Lass uns reden

Interesse an einer Zusammenarbeit oder eine Frage? Ich bin immer offen für neue Projekte.

Vernetzen

Finden Sie mich in sozialen Medien und auf beruflichen Netzwerken.

DatenschutzerklärungNutzungsbedingungen
© 2026 Irfan MiralEntwickelt vonirfanMiral.com
2024-10-30• 5 Min. Lesezeit

CyberPanel-Sicherheitsvorfall: Malware-Bereinigung und Server-Härtung

Ende Oktober 2024 erlaubte eine kritische Lücke in CyberPanel (CVE-2024-51567) Angreifern, über einen Fehler im upgrademysqlstatus-Endpoint des Panels ohne Authentifizierung Befehle als Root auszuführen. Innerhalb weniger Tage scannten automatisierte Würmer das Internet und schleusten Ransomware auf ungepatchte Server. Mehrere von mir betreute Kundenserver liefen mit CyberPanel und waren betroffen, bevor ich den Patch einspielen konnte.

CyberPanel-Sicherheitsproblem

Wie die Bereinigung ablief

Auf jedem betroffenen Server war der erste Schritt, den Server vom Netz zu trennen oder zumindest eingehenden Traffic in der Firewall zu blockieren, bevor irgendetwas anderes passierte. Man will nicht, dass eine aktive Infektion während der Arbeit weitere ausgehende Verbindungen aufbaut. Danach:

  • /usr/local/lscp und die Web-Roots auf unbekannte Dateien und Änderungszeitpunkte überprüft
  • Abgelegte Malware-Dateien und Cron-Persistenzeinträge gefunden und entfernt

Liste der beim Scan gefundenen Schaddateien

  • /etc/crontab, Benutzer-Crontabs und systemd-Timer auf alles untersucht, was dort nicht hingehört
  • authorized_keys auf neue SSH-Schlüssel und neue Benutzerkonten geprüft

Weitere entdeckte Schaddateien

  • Einen ImunifyAV-Scan über das gesamte Dateisystem laufen lassen, um alles zu erfassen, was bei der manuellen Prüfung übersehen wurde

ImunifyAV-Scanergebnisse

Patch und Härtung

Nachdem jeder Server bereinigt war, habe ich den offiziellen Patch von CyberPanel für die Lücke eingespielt und bin dann noch weitergegangen:

  • ModSecurity mit dem OWASP Core Rule Set vor das Panel gesetzt, damit Angriffe dieser Art auch bei einer künftigen ähnlichen Lücke abgefangen werden
  • ImunifyAV mit geplanten Scans eingerichtet, damit eine erneute Infektion innerhalb von Stunden auffällt, nicht erst nach Wochen
  • CSF (ConfigServer Security & Firewall) so konfiguriert, dass nur die Ports und Quell-IPs zugreifen können, die das Panel wirklich braucht

Die Lehre daraus

Der Admin-Port von CyberPanel (8090) sollte niemals für das gesamte Internet offen sein. Ihn auf ein VPN oder eine kleine Liste von IPs zu beschränken, hätte diesen Wurm gestoppt, unabhängig von der zugrunde liegenden Lücke. Genau das habe ich danach auf jedem Server geändert: Panel-Zugriff nur noch über VPN, kein anderer Weg.

Vorheriger6 Webhosting-Kontrollpanels, die man kennen sollte