[ OK ]Kernel başlatılıyor...
~/im/blog
Beni İşe Alın

Konuşalım

Çözülmesi gereken bir altyapı probleminiz mi var veya projeniz için desteğe mi ihtiyacınız var? Yeni projeler için bana ulaşabilirsiniz.

İletişime geç

Bağlantılar

Beni sosyal medyada ve profesyonel ağlarda bulun.

© 2026 Irfan Miral. Tüm hakları saklıdır.Geliştiren:Irfan Miral
Gizlilik PolitikasıŞartlar & Koşullar
Ana SayfaHizmetlerHakkımda/ÖzgeçmişBlogİletişimAraçlar
2024-10-30• 5 dk okuma süresi

CyberPanel Güvenlik Olayı: Kötü Amaçlı Yazılım Temizliği ve Sunucu Sıkılaştırma

Security CyberPanel Linux Administration Server Security

Reklam

2024 Ekim ayının sonlarında, CyberPanel'de ortaya çıkan kritik bir güvenlik zafiyeti (CVE-2024-51567), saldırganların kimlik doğrulaması olmadan sunucuda root olarak komut çalıştırmasına olanak tanıdı. Hata, panelin upgrademysqlstatus uç noktasının gelen istekleri işleme biçimindeki bir zayıflıktan kaynaklanıyordu.

Sadece birkaç gün içinde otomatik solucanlar (worm) tüm interneti taramaya ve yamalanmamış sunuculara fidye yazılımları indirmeye başladı. Yönettiğim müşterilerden birkaçının CyberPanel sunucuları vardı ve ben daha yamaları geçemeden vuruldular.

CyberPanel güvenlik açığı

Temizlik süreci nasıldı?

Etkilenen her sunucuda yaptığım ilk şey, başka hiçbir şeye dokunmadan makinenin fişini ağdan çekmek veya en azından güvenlik duvarından (firewall) içeri giren tüm trafiği bloke etmekti. Siz temizlik yaparken aktif bir virüsün dışarıya daha fazla bağlantı kurmasını istemezsiniz. Ardından şunları yaptım:

  • Yabancı dosyalar ve son zamanlarda değiştirilmiş zaman damgaları (timestamp) için /usr/local/lscp dizinini ve web root klasörlerini kontrol ettim.
  • Sunucuya bırakılan zararlı yazılım (malware) dosyalarını ve bunların kalıcılık sağlamak için oluşturdukları cron görevlerini bulup sildim.

Tarama sırasında bulunan virüslü dosyaların listesi

  • /etc/crontab dosyasını, kullanıcı crontab'lerini ve systemd zamanlayıcılarını oraya ait olmayan her şey için gözden geçirdim.
  • authorized_keys dosyasına sızdırılmış yeni SSH anahtarları ve yeni oluşturulmuş korsan kullanıcı hesapları olup olmadığını kontrol ettim.

Tespit edilen ek virüslü dosyalar

  • Gözden kaçırdığım herhangi bir şeyi yakalamak için tüm dosya sistemi boyunca ImunifyAV taraması başlattım.

ImunifyAV tarama sonuçları

Yama (Patching) ve Sıkılaştırma (Hardening)

Her sunucunun tamamen temizlendiğinden emin olduktan sonra, CyberPanel'in yayınladığı resmi yamayı uyguladım. Ardından işi bir adım öteye taşıdım:

  • Gelecekte yeni bir zafiyet çıksa bile bu tarz saldırıları panelin önünde karşılayıp engellemesi için OWASP Core Rule Set ile ModSecurity kurdum.
  • Olası bir yeni enfeksiyonun haftalar sonra değil, saatler içinde fark edilmesi için ImunifyAV'yi zamanlanmış taramalar yapacak şekilde yapılandırdım.
  • CSF (ConfigServer Security & Firewall) üzerinden panele sadece kesinlikle erişmesi gereken belirli kaynak IP'lere ve portlara izin verecek şekilde sıkılaştırma yaptım.

Bu olaydan çıkarılacak ders

CyberPanel'in admin portu (8090) hiçbir zaman tüm internete açık bırakılmamalıdır. Bu erişimi sadece bir VPN arkasına veya çok kısıtlı bir izinli IP listesine (allowlist) çekmek, altta yatan yazılım zafiyeti ne olursa olsun bu solucanı anında durdururdu.

Bu olaydan sonra yönettiğim tüm sunucularda yaptığım değişiklik de tam olarak buydu: panele erişim sadece VPN üzerinden yapılır, nokta.

Reklam

Yardıma mı ihtiyacınız var?

Eğer Sunucu Sorun Giderme ve Olay Müdahalesi işini sizin yerinize birinin halletmesini tercih ederseniz, benim asıl işim tam olarak bu.

İletişime Geç
ÖncekiMutlaka Bilinmesi Gereken 6 Web Hosting Kontrol PaneliSonraki Her Yeni Sunucuda Tekrar Kullandığım Bash Betikleri