طبق آخرین آسیب پذیری منتشر شده برای کنترل پنل سی پنل در حال حاضر ورژن های بعد از ۱۱.۴۰ آسیب پذیر می باشند.
در صورتی که سرور شما ایران است با توجه به شرایط موجود بایستی حتما yum/dnf در دسترس باشد تا امکان اپدیت سی پنل فراهم باشد.
جهت دسترسی yum/dnf بایستی میرور های ایران را استفاده کنید.بدلیل شرایط اینترنت ملی سرورهای ایران نمی توانند به سایت almalinux متصل گردند.
دستور ذیل بطور خودکار میرور سیستم عامل آلمالینوکس را جایگذاری می کند:
sed -i -e 's/repo.almalinux.org/mirror.hostbaran.com/g' -e 's/^#.*baseurl=https/baseurl=https/g' -e 's/^mirrorlist=https/#mirrorlist=https/g' /etc/yum.repos.d/*
همچنین در /etc/resolv.conf بایستی نیم سروری قرار گیرد که بدون مشکل امکان Resolve دامنه ها را در سرور شما فراهم بیاورد.
دی ان اس های مربوط به سرورهای ایران ۲۱۷.۲۱۸.۱۲۷.۱۲۷ – ۱۷۸.۲۲.۱۲۲.۱۰۰
جهت آپدیت ابتدا بررسی کنید دستور زیر بدون ارور در root سرور شما اجرا می شود:
yum makecache
yum update -y
سپس دستور زیر اجرا گردد:
/scripts/upcp –force
دقت نمایید که هکر یک یوزر با نام root1 روی سرور شما با دسترسی ریشه ایجاد می کند.
با دستور زیر پروسه های کاربر مهاجم را مسدود و آن را حذف کنید.
killall root1
userdel root1
همچنین بعد از بروزرسانی سی پنل ، با دستور زیر session باز مهاجم را حذف کنید.
/scripts/restartsrv_cpsrvd
rm -f /var/cpanel/sessions/raw/*
rm -f /var/cpanel/sessions/login/*
/scripts/restartsrv_cpsrvd –hard
در صورتی که برای اتصال به whmcs در CPANEL/WHM قبلا TOKEN API ساختید، آن را را revoke کنید.
نکته مهم۱ :در صورتی که سیستم عامل سرور شما سنتوس Centos7/CloudLinux7 می باشد دستور زیر را نیز اجرا کنید:
sed -i ‘s/^CPANEL=.*/CPANEL=11.110/’ /etc/cpupdate.conf
نکته مهم ۲: در صورتی که سیستم عامل شما راکی لینوکس می باشد لازم است سیستم عامل خود را به almalinux تغییر دهید تا بتوانید بروزرسانی های سی پنل را دریافت کنید.
برای اطلاعات بیشتر به لینک اطلاعیه سی پنل مراجعه نمایید.
نکته مهم ۳: پیشنهاد می گردد به عنوان فایروال/آنتی ویروس از لایسنس imunify360 استفاده کنید و اگر شک دارید که cpanel سرور شما پیش از انجام بروزرسانی مورد نفوذ قرار گرفته است، بررسی کنید نشانه های روبرو در سرور شما وجود دارد: مصرف غیرعادی منابع رم پردازنده ، وجود ایمیلهای اسپم در قسمت ایمیل های سرور،حذف شدن bash_history و تاریخچه دستورات، وجود یوزرهای ناشناس در قسمت لیست اکانت های سی پنل، ابیوز مربوط به پورت اسکن، فایل های مشکوک در روت سرور و هاست کاربران.
نکته مهم ۴: بعد از انجام yum update باید سیستم عامل یکبار ریستارت گردد تا کرنل بصورت کامل بروز گردد.پیشنهاد می گردد برای دریافت patch امنیتی مخصوص سیستم عامل خود از لایسنس کرنل کار استفاده کنید.از ویژگی های کرنل کار می توان به آپدیت اتوماتیک کرنل بدون نیاز به ریبوت اشاره کرد.
