باگ امنیتی مهم سی پنل (آسیب پذیری بحرانی)

 اطلاعیه رسمی سی پنل برای یک مشکل امنیتی فوق خطرناک. که باعث هک شدن سرور های سی پنل میگردد !

به دلیل قطعی اینترنت بین الملل در ایران ، بیشتر سرور های خارج از ایران تحت تاثیر این آسیب پذیری قرار گرفتند.

 سطح خطر: بحرانی (Critical)

 شرح آسیب‌پذیری:

یک حفره امنیتی از نوع Authentication Bypass (دور زدن احراز هویت) در cPanel (شامل نسخه DNSOnly) شناسایی شده است که کلیه نسخه‌های منتشرشده پس از 11.40 را تحت تأثیر قرار می‌دهد.

 اقدامات ضروری (Required Actions)

توجه : دستورات زیر نیازمند اطلاعات فنی در مدیریت سرور است ، اگر دانش کافی ندارید این امر را به یک مختصص بسپارید

توصیه : اگر براتون مقدوره و میخواید خیال خودتون کمی راحت بشه بعد از پاکسازی و آپدیت تمام پورت ها رو به جز 80 443 465 587 21 53 25 ببندید تا فقط سایت ها باز بشن و دسترسی به سی پنل مقدور نباشه تا مطمئن بشیم از این خطر عبور کردیم ، بستن پورت های 2083 2086 2087 2077 2078 2095 2096 به شما کمک میکنه تا حد زیادی از این اتفاق در امان باشید

جهت اپدیت ابتدا بررسی کنید دستور زیر بدون ارور در سرور شما اجرا می شود یعنی آپدیت به درستی انجام شود و دیتا رد و بدل می شود:

برای AlmaLinux/RockyLinux/Centos/CloudLinux:

yum makecache 

yum update -y

برای ابونتو :

apt update;

apt upgrade -y 

دقت کنید برای سرور های داخل ایران اگر خطای اپدیت داشتید لایسنس بشکون رایگان را از ما تهیه و روی سرور فعال کنید 

بااستفاده از لایسنس بشکون تمام اپدیت ها در سرور های ایران اکسس با نت داخلی هم براحتی انجام می شود ! حتی در بشکون رایگان

برای اینکه تنظیمات آپدیت صحیح روی آخرین نسخه تنظیم شود و موارد غیر ضروری غیرفعال شود بزنید :

sudo bash -c 'printf "%s\n" "CPANEL=release" "RPMUP=daily" "SARULESUP=daily" "STAGING_DIR=/usr/local/cpanel" "UPDATES=daily" > /etc/cpupdate.conf'

touch /var/cpanel/disable_whm_terminal_ui

whmapi1 set_tweaksetting key=proxy_subdomains value=0 && /scripts/servicedomains remove

systemctl stop rpcbind

systemctl disable rpcbind

/scripts/compilers off

فقط در صورتی که سرور شما Centos 7/CloudLinux 7 می باشد دستور زیر را نیز اجرا کنید:

sed -i 's/^CPANEL=.*/CPANEL=11.110/' /etc/cpupdate.conf

در صورتی که سرور شما Centos 6/CloudLinux 6 هست دستور زیر را اجرا کنید:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf

سپس دستور آپدیت فورس سی پنل را اجرا شود (این دستور برای تمام سیستم عامل ها و نسخه ها یکسان است):

/scripts/upcp --force

بعد از حدود 30 دقیقه آپدیت تکمیل میگردد حالا ورژن سی پنل را چک کنید:

cat /usr/local/cpanel/version

یعنی بعد از اپدیت باید ورژن سی پنل شما حداقل یکی از ورژن های زیر و یا بالاتر از آن باشد  ، در غیر اینصورت سرور شما ممکن است بزودی کامل هک شود ! این اطلاعیه را جدی بگیرید و البته دقت کنید این آسیب پذیری هیچ ربطی به لایسنس اشتراکی ندارد و کل هاستینگ های مطرح دنیا نیز درگیر این موضوع شده اند.

11.126.0.63 and higher
11.134.0.30 and higher
11.136.0.14 and higher

چطور بفهمیم سرور قبل از آپدیت آلوده شده یا خیر ؟ سی پنل یک اسکریپت رسمی ارائه کرده و با اجرای اون میتونید مطمئن بشید که قبل از اپدیت به سرور شما تلاشی برای تزریق این اکسپلویت شده یا خیر ، برای این منظور دستور زیر را در SSH بزنید :  (برای سرور خارج این دستور کار نمیکند و لازم است فایل را با نت ایران دانلود و روی سرور اپلود کنید و دستی اجرا نمایید)

curl -sSL https://license.tikweb.net/cp_ioc_checksessions.sh | sudo bash

اگر مورد مشکوکی پیدا نشود خروجی دستور بالا در ssh سرور باید مشابه زیر باشد

^{[*] Scanning session files for injection indicators...}

^{[+] No indicators of compromise found.}

اگر نتایج دیگری دیدید که INDICATORS OF COMPROMISE DETECTED بود یعنی احتمال آلودگی بالاست. 

حالا اگر آلوده شده بود چه کنیم ؟ 

ابتدا دستور پاکسازی تمام سشن های PHP را بزنید

/usr/local/cpanel/scripts/clean_user_php_sessions

این اسکریپت رو ران کنید تا تمام سشن های سی پنل پاک شود و تمام یوزر های لاگین لاگ اوت شوند:

wget https://license.tikweb.net/purge-session.sh && chmod +x purge-session.sh && bash purge-session.sh

با ابزار force password change خود WHM پسورد کل یوزرا عوض کنید

پسورد روت و پورت SSH عوض کنید

کل سرور رو با یک اسکنر قدرتمند مثل  ایمونیفای 360 اسکن کنید

بکاپ گیری از کل یوزر ها

اگر علائمی دیدید که یوزری هک شده یا تزریق کد و دسترسی هکر به سرور یا ایجاد بکدور تایید شده باشد یا مثلا پسورد روت خود به خود تغییر میکند، حتما در فایروال سخت افزاری یا نرم افزاری تمام ایپی ها به غیر از ایپی خودتان و سرور جدید را مسدود کنید سپس یوزر ها را به سرور جدید(که جدید تهیه و نصب کردید) منتقل نمایید.

اگر ایپی که نوشته شده ایپی شما نیست یعنی سشن شما الوده شده قطعا و باید هیستوری ssh و تمام موارد سرور رو دقیق چک کنید ، در انتها پیشنهاد ما بکاپ گیری جداگانه و انتقال به یک سرور جدید است

اگر به هر دلیل موفق به انجام اپدیت نشدید سریعا دستور زیر را در Ssh سرور وارد کنید سپس دسترسی روت را تیکت کنید تا دلیل عدم اپدیت بررسی گردد ، با این دستور سرویس های سی پنل قطع می شود اما سایت های روی سرور قطع نمی شوند

whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop