~/im
Benimle Çalışın

Konuşalım

Birlikte çalışmakla ilgileniyor ya da bir sorunuz mu var? Yeni projeleri konuşmaya her zaman açığım.

Bağlantı Kurun

Beni sosyal medyada ve profesyonel ağlarda bulabilirsiniz.

Gizlilik Politikası (KVKK)Kullanım Koşulları
© 2026 Irfan MiralGeliştirici:irfanMiral.com
2024-10-30• 5 dakika okuma

CyberPanel Güvenlik Olayı: Zararlı Yazılım Temizliği ve Sunucu Sıkılaştırma

2024 yılının Ekim ayı sonunda, CyberPanel'de kritik bir açık (CVE-2024-51567) saldırganların panelin upgrademysqlstatus endpoint'indeki bir kusur sayesinde kimlik doğrulaması yapmadan root olarak komut çalıştırmasına izin verdi. Birkaç gün içinde otomatik solucanlar interneti tarayıp yamasız sunuculara ransomware bırakmaya başladı. Yönettiğim birkaç müşteri sunucusu CyberPanel kullanıyordu ve ben yamayı uygulamadan önce etkilendiler.

CyberPanel güvenlik sorunu

Temizlik süreci nasıl ilerledi

Etkilenen her sunucuda ilk adım, başka bir şey yapmadan önce sunucuyu ağdan ayırmak ya da en azından firewall'da gelen trafiği engellemekti. Çalışırken aktif bir bulaşmanın daha fazla giden bağlantı kurmasını istemezsiniz. Sonrasında:

  • /usr/local/lscp ve web root'larında tanıdık olmayan dosyalar ve son değiştirilme zamanları kontrol edildi
  • Bırakılan zararlı yazılım dosyaları ve cron kalıcılık girdileri bulunup kaldırıldı

Tarama sırasında bulunan zararlı dosya listesi

  • /etc/crontab, kullanıcı crontab'ları ve systemd timer'ları olması gerekmeyen şeylere karşı incelendi
  • authorized_keys içinde yeni SSH anahtarları ve yeni kullanıcı hesapları kontrol edildi

Tespit edilen ek zararlı dosyalar

  • Elle kaçırılmış olabilecekleri yakalamak için tüm dosya sisteminde ImunifyAV taraması çalıştırıldı

ImunifyAV tarama sonuçları

Yama ve sıkılaştırma

Her sunucu temizlendikten sonra CyberPanel'in açık için yayınladığı resmi yamayı uyguladım, sonra daha da ileri gittim:

  • Panelin önüne OWASP Core Rule Set ile ModSecurity, böylece ileride benzer bir açık çıksa bile bu sınıftaki saldırıları yakalayabilir
  • Zamanlanmış taramalar yapan ImunifyAV, böylece yeniden bulaşma haftalar sonra değil saatler içinde fark edilir
  • Sadece panele erişmesi gereken portlara ve kaynak IP'lere kilitlenen CSF (ConfigServer Security & Firewall)

Buradan çıkardığım ders

CyberPanel'in admin portu (8090) hiçbir zaman tüm internete açık olmamalı. Bunu bir VPN'e ya da küçük bir IP listesine kısıtlamak, altta yatan açıktan bağımsız olarak bu solucanı durdururdu. Sonrasında her sunucuda yaptığım değişiklik de bu oldu: panel erişimi artık sadece VPN üzerinden, başka yolu yok.

ÖncekiBilinmesi Gereken 6 Web Hosting Kontrol Paneli