cPanel Zero-Day Zafiyeti ve nuclear.x86 Zararlısı: Sunucunuzu Nasıl Temizlersiniz?

Son günlerde web hosting ve sunucu yönetimi dünyasında kritik bir güvenlik tehdidi ile karşı karşıyayız. cPanel geliştirici ekibinden kaynaklanan bir sıfır gün (zero-day) zafiyeti, sunuculara nuclear.x86 adlı bir zararlı yazılımın sızmasına neden oldu.

Önemle belirtmek gerekir ki bu durum, yalnızca lisans sistemleri üzerinden değil, orijinal cPanel lisansına sahip sunucularda da doğrudan gözlemlenmiştir. Dijital Alan olarak, bu kritik zafiyetin sunucularınızda yarattığı tahribatı ortadan kaldırmak ve sisteminizi yeniden güvenli hale getirmek için uygulamanız gereken adımları detaylandırdık.

1. Zararlı Yazılımı Tespit Etme ve Sonlandırma

Sunucunuzda wget veya curl komutlarını çalıştırdığınızda aniden “Killed” hatası alıyorsanız, sisteminiz büyük ihtimalle bu zararlı yazılımın etkisi altındadır. Zararlı dosya saldırgan tarafından disk üzerinden silinmiş olsa da, süreç (process) arka planda çalışmaya devam eder.

Zararlı yazılımı durdurmak için SSH üzerinden root erişimi sağlayıp aşağıdaki komutları sırasıyla çalıştırın:

pkill -9 -f "./nuclear.x86"
pkill -9 -f "nuclear.x86"
ps auxf | grep -i nuclear

İlk iki komut malware sürecini zorla sonlandırır. Üçüncü komut ise arka planda çalışan başka bir zararlı kalıntısı olup olmadığını kontrol eder. Eğer grep işlemi dışında bir sonuç listelenmiyorsa, zararlı başarıyla durdurulmuştur.

İşlemi doğrulamak için aşağıdaki komutu girin:

wget google.com

Eğer dosya “Killed” hatası vermeden iniyorsa süreç tamamen temizlenmiştir. Bu işlemin ardından, sunucu yapılandırmanıza bağlı olarak lisans servisinizi (örneğin RcLicenseCP komutu ile) yeniden başlatabilirsiniz.

2. Çalınan SSH Anahtarlarını Temizleme ve Yenileme

Saldırganların temel hedeflerinden biri sunucunuzdaki özel SSH anahtarlarını (private keys) ele geçirmektir. Bu anahtarların kopyalandığını ve artık güvenli olmadığını (burned) varsaymalısınız.

Eski anahtarları temizlemek ve yenilerini oluşturmak için şu adımları izleyin:

# Mevcut .ssh klasörünü silmeden önce yedekleyin
cp -a ~/.ssh ~/.ssh.compromised.$(date +%Y%m%d)

# Çalınan tüm anahtar dosyalarını temizleyin
rm -f ~/.ssh/authorized_keys ~/.ssh/authorized_keys2
rm -f ~/.ssh/id_rsa ~/.ssh/id_rsa.pub
rm -f ~/.ssh/id_ed25519 ~/.ssh/id_ed25519.pub
rm -f ~/.ssh/id_ecdsa ~/.ssh/id_ecdsa.pub
rm -f ~/.ssh/id_dsa ~/.ssh/id_dsa.pub
rm -f ~/.ssh/known_hosts

# Yeni ve güvenli bir anahtar oluşturun
ssh-keygen -t ed25519 -C "new-key-$(date +%Y%m%d)"

Oluşturduğunuz yeni açık anahtarı (public key) GitHub, GitLab, Bitbucket gibi platformlara ve SSH bağlantısı kurduğunuz diğer sunuculara ekleyin. Eski anahtarları bu platformlardan kesinlikle silin.

3. Tüm Parolaların ve Tokenlerin Değiştirilmesi

Zafiyet süresince sunucudaki birçok verinin sızdırılmış olma ihtimaline karşı, aşağıdaki tüm erişim bilgilerini acilen güncellemeniz gerekmektedir:

• cPanel ve WHM giriş şifreleri

• Tüm FTP ve SFTP kullanıcı şifreleri

• Sunucuya bağlı tüm e-posta hesaplarının şifreleri

• MySQL veritabanı kullanıcı şifreleri (Şifreleri değiştirdikten sonra WordPress sitelerinizdeki wp-config.php veya Laravel/diğer sistemlerdeki .env dosyalarını güncellemeyi unutmayın)

• Yapılandırma dosyalarında bulunan API anahtarları, SMTP şifreleri ve webhook secret anahtarları

• Tüm içerik yönetim sistemlerinin (WordPress, Joomla vb.) yönetici paneli şifreleri

Ayrıca, cPanel veya SSH şifrenizi başka platformlarda da kullanıyorsanız, saldırganların ellerindeki hash verilerini kırma ihtimaline karşı o platformlardaki şifrelerinizi de değiştirmelisiniz.

4. Arka Kapı (Backdoor) Kontrolü ve Güvenlik Denetimi

Zararlı yazılım temizlense bile, saldırganlar sisteme tekrar erişebilmek için arka kapılar bırakmış olabilir. Sunucunuzda şu kontrolleri mutlaka gerçekleştirin:

• E-posta Yönlendiricileri (Forwarders): cPanel üzerinden sizin oluşturmadığınız şüpheli e-posta yönlendirmelerini kontrol edin.

• Cron İşleri (Cron Jobs): Zamanlanmış görevler arasında bilginiz dışında eklenen komutları silin.

• FTP Hesapları: Yetkisiz açılmış yeni FTP hesapları olup olmadığını denetleyin.

• SSH Erişimi: Bilginiz dışında eklenmiş SSH anahtarlarını kontrol edin.

• Dosya Yöneticisi Kontrolü: Özellikle public_html dizini altında yer alan, son 7 gün içinde değiştirilmiş veya rastgele karakterlerden oluşan şüpheli .php dosyalarını tespit edip temizleyin.

Kapsamlı Güvenlik İçin Bilinçli Hareket Edin

Siber güvenlik sürekli bir tetikte olma halidir. Dijital Alan maskotumuz olan pandanın tasarım felsefemizdeki kusursuz görünümü temsil ettiği gibi, sunucularınızın altyapısı da arka planda aynı kusursuzlukta ve güvenlikte olmalıdır. Bu zafiyet orijinal lisans kullanan sistemleri de etkilediğinden, barındırma hizmeti veren veya sunucu yöneten meslektaşlarınızı bu konu hakkında bilgilendirmeniz büyük önem taşımaktadır. Sunucunuzda bu komutları çalıştırma konusunda şüpheleriniz varsa, daha büyük veri kayıplarının önüne geçmek için uzman teknik destek almayı ihmal etmeyin.