• مناقشة عامة

  • مهم جدا اصابة CyberPanel بفيروس وعدد الضحايا تجاور 22 ألف

مؤخرا طلبت مساعدة عن [سجل الدخول لترى الرابط] ، اعتقدت انني ارتكبت خطأ ما في تركيب سكريبت غير آمن ، الا أن اكتشفت تقارير تتحدث عن تغرة CyberPanel ثم استغلالها لحقن برامج المالوير لغرض التعدين.

[سجل الدخول لترى الرابط]تتحدث عن 22 ألف ضحية لهذا الفيروس وهم اصحاب السرفرات ، لذلك يجب الحذر عند استعمال هذه اللوحة وعمل تحديث كامل للنظام وللوحة التحكم .

في ما يلي ملفات وروابط مهمة :
ت[سجل الدخول لترى الرابط]

[سجل الدخول لترى الرابط]

شخصيا انا عملت ملف باثون يقوم بالتحقق من وجود ملفات الفيروس وحذفها ، لكنها لم تنفع إلى حد ما ، أنا مازلت اتابع التقارير بحثا عن حل جذري

    فيه لوحة بديل أفضل منها

    cwp جربتها لفترة سنه وكانت جميله وحلوه وسهلة التعامل . في بعض تبيع لوحة تحكم cpanel بسعر رخيص

      asfarfordev

      بالفعل تم الحديث عن 3 ثغرات في بعض إصدارات لوحة التحكم CyberPanel، وتحديدًا الإصداران 2.3.6 و 2.3.7 حيث أتاحت هذه الثغرات لمجموعات تستخدم برمجيات فدية خبيثة بالوصول إلى ملفات الخوادم وتشفيرها، لكن صراحة ليس من المؤكد أن المشكلة لديك كانت متعلقة بهذه الثغرات لأنه لا توجد تقارير تتحدث عن ارتباط فيروس Kdevtmpfsi بالهجمات التي حدثت، لكن لا يمكن نفي الارتباط بشكل قطعي أيضًا.

      أنصحك في حالتك أن تحاول مراجعة السكربتات التي استخدمتها قبل نشاط الفيروس بوقت قصير، فقد يكون أحدها غير آمن بالفعل وهو السبب في نشاط Kdevtmpfsi لديك. أيضًا قارن إصدار CyberPanel الذي كنت تستخدمه وقت حصول النشاط مع الإصدارات التي تتضمن الثغرات المعلن عنها، فقد يكون لذلك دلالة مفيدة.

      المشكلة لديك أن هناك كرون يقوم بتحميل الفيروس وتشغيله كل دقيقة، ولذلك ستحتاج إلى إزالته عبر سكربت مخصص كما وضحت لك في الموضوع السابق.

      هل جربت استخدام برنامج على خادمك ولم يتمكن من إزالة الفيروس؟

      أريد أن أنوه أنه لم يتأثر 22 ألف خادم بالهجمات، لكن هناك 22 ألف خادم معرض للخطر، ولا توجد معلومات دقيقة حول عدد الخوادم التي حدث فيها اختراق.

      أي شخص يستخدم لوحة التحكم CyberPanel يجب أن يقوم بعمل تحديث فوري لآخر إصدار لها، وفي حال تأثره بهجمات برامج الفدية، فيمكن أن يستخدم [سجل الدخول لترى الرابط] بعد [سجل الدخول لترى الرابط] من الخادم بالطبع.

        الفيروس ظهر في الايام التي تزامنت مع التقارير ، لدي سرفرين احدهما ليس عليه سوى موقع واحد كل ما فيه اصلي وجدته مخترق بنفس الطريقة ، اذا اطلعت على التقارير والمشروع في غيتهاب ستلاحظ ان الكثيرون يتحدثون عن الفيروس في فترة متقاربة.

        جريت الانتي فيروس لم يحل المشكلة ، حتى الفايروال يتم التحكم فيه ، اشغله ، بعد مدة اجده معطلا

          توضيح ثغرة: Pre-Auth Root RCE

          تخيل أن لديك بيتًا كبيرًا (يمثل الخادم أو السيرفر)، فيه الكثير من الغرف، وكل غرفة لها مفتاح خاص. جميع إمكانيات الغرف تُدار من غرفة التحكم الرئيسية، والتي تمثل في الخادم مستوى الجذر (root)، وهي محمية بشكل قوي.

          اكتشف شخص ما ثغرة في هذا البيت مكّنته من الدخول المباشر إلى (غرفة التحكم) دون الحاجة إلى مفتاح أو إذن. الآن، هذا الشخص يمكنه التحكم في كل شيء داخل البيت، مثل إضاءة الأنوار أو إطفائها، وفتح الأبواب أو إغلاقها، ولديه الصلاحية أن يفعل ما يشاء.

          هذا بالضبط ما حدث في ثغرة Pre-Auth Root RCE التي أصيبت بها لوحة التحكم Cyber Panel؛ حيث تمكن المخترقون من التحكم الكامل في النظام، كونهم تمكنوا عبر الثغرات الموجودة من:

          • الوصول إلى دالة upgrademysqlstatus() لتجاوز الحماية المتمثلة في secMiddleware وتنفيذ أوامر برمجية عن بعد (Remote Code Execution) بصلاحيات الجذر (root).
          • كذلك استخدام ثغرة أخرى تتعلق بخاصية completePath في دالة ProcessUtilities.outputExecutioner()، التي تسمح بتنفيذ أوامر برمجية عن بعد (RCE) عبر مسار /filemanager/upload في مدير الملفات، من خلال حقن رموز التحكم في الشيل في خاصية التحميل.
          • هذا كله بدون الحاجة لتسجيل دخول أو مصادقة مسبقة (Pre-Auth)، مما يعني أن المخترق لا يحتاج أن يكون لديه حساب من الأساس.

          النتيجة:

          نتيجة لذلك، تم الإبلاغ عن تعرض أكثر من 22 ألف خادم لهجمات برمجية الفدية PSAUX، حيث تم تشفير الملفات وتعطيل الخدمات على هذه الخوادم. كما أفاد البعض بملاحظة وجود فيروس Kdevtmpfsi، الذي يُستخدم لتعدين العملات الرقمية عبر الخوادم المصابة، مما يتسبب في استنزاف موارد الخادم وتباطؤ أدائه.

          الحل:

          إذا تعرضت لفيروس الفدية وكان لديك نسخة احتياطية فيمكنك استعادتها وترقية cyber panel إلى أحدث نسخة. وإذا تعرضت لفيروسات أخرى كفيروس Kdevtmpfsi [سجل الدخول لترى الرابط].

          asfarfordev لم اجربها ، هل تدعم اللايت سبيد ؟

          نعم، CyberPanel يدعم LiteSpeed.

          إحدى الحلول لتقليل التعرض لثغرات CyberPanel هو إيقاف تشغيل لوحة التحكم عندما لا تكون بحاجة إليها، طالما أن LiteSpeed مفعل على الخادم ويعمل بشكل مستقل لتشغيل المواقع. بهذه الطريقة، يمكنك حماية الخادم من الثغرات المحتملة، خصوصًا أن الوصول إلى لوحة التحكم لن يكون ضروريًا في معظم الأوقات.

            asfarfordev

            جرب استخدام برنامج Maldet لإزالة الفيروس. أعتقد غالبًا سينجح هذا البرنامج.

            بالنسبة للفايروال فهو ليس مناسبًا لإزالة الفيروس، إذ يعمل كخط دفاع ضد الهجمات المستقبلية لكنه لا يستخدم لإزالة الفيروسات الموجودة.

              كيف اعرف ان موقعي مصاب بهذه الفيروس هل في طريقة للفحص وهل يصيب مواقع الوردبريس فقط او كل المواقع المعمولة بعدة لغات

                Abu Quse

                فيروس Kdevtmpfsi يمكن أن يصيب أي موقع مستضاف على خادم يعمل بنظام التشغيل Linux، وليس فقط مواقع ووردبريس، وأسهل طريقة للاستدلال إلى أن الموقع مصاب به، هي وجود ملفات مشبوهة في الخادم وارتفاع استهلاك CPU بشكل غير طبيعي.

                الملفات المشبوهة قد تكون ببعض الأسماء التالية:

                • kdevtmpfsi
                • wpdcks
                • wpservices
                • wp-tmp.php
                • .wp-cache.php

                  Abu Quse كيف اعرف ان موقعي مصاب بهذه الفيروس هل في طريقة للفحص وهل يصيب مواقع الوردبريس فقط او كل المواقع المعمولة بعدة لغات

                  صحيح، فيروس Kdevtmpfsi يمكن أن يصيب أي موقع مستضاف على خادم يعمل بنظام Linux، وليس حصراً مواقع ووردبريس كما ذكر الأستاذ علي. هذا النوع من الفيروسات عادةً يستغل نقاط الضعف في الخادم أو التطبيقات المثبتة عليه، لذلك فهو يمكن أن يصيب المواقع المعمولة بأي لغة برمجة، طالما أن الخادم مستهدف.

                  ملحوظة: هذا الفيروس ينشئ ملفات بأسماء قريبة من أسماء ملفات النظام، لإيهام المستخدمين بأنها ملفات هامة، مما يصعب اكتشافها أحيانًا.

                  لفحص موقعك، يمكنك التحقق من وجود ملفات مشبوهة بالأسماء التي ذكرها الأستاذ علي في التعليق السابق، وأيضاً مراقبة استهلاك المعالج (CPU usage)؛ فإذا لاحظت ارتفاعاً غير طبيعي في استهلاك المعالج، فقد يكون ذلك مؤشراً على إصابة الخادم.

                  كذلك، يمكنك استخدام أدوات فحص الملفات الضارة مثل Malware Scanner المدمج في بعض لوحات التحكم مثل cPanel، أو الاعتماد على برامج الحماية المخصصة للسيرفرات مثل ClamAV.