cPanel CVE-2026-41940 Güvenlik Açığı ve Müdahale Rehberi (2026)
28 Nisan 2026 tarihinde cPanel tarafından duyurulan CVE-2026-41940, cPanel/WHM sistemlerinde kritik bir kimlik doğrulama atlatma zafiyetidir. Bu açık, yetkisiz kullanıcıların belirli koşullar altında root seviyesinde erişim elde etmesine neden olabilir.
Bu rehber, saldırıya uğramış veya risk altında olan sunucular için hızlı müdahale, analiz ve kalıcı çözüm adımlarını teknik olarak açıklar.
Açığın Etkisi
Authentication bypass (kimlik doğrulama atlatma)
Yetkisiz WHM erişimi
Root seviyesinde komut çalıştırma
SSH key ekleme (backdoor)
Cron job ile kalıcılık sağlama
1. Acil Müdahale (Containment)
Aktif oturumları ve süreçleri sonlandır
pkill -u root
pkill -u nobody
SSH erişimini geçici olarak kapat
systemctl stop sshd
2. Kalıcılık (Persistence) Temizliği
SSH anahtarlarını temizle
rm -rf /root/.ssh
rm -rf /home/*/.ssh
Cron görevlerini temizle
crontab -r
rm -rf /var/spool/cron/*
rm -rf /etc/cron.d/*
3. Saldırgan IP Tespiti
Aşağıdaki komut ile en çok istek atan IP adresleri analiz edilir:
grep -E "login_only=1|json-api|scripts2/listaccts|cpsess"
/usr/local/cpanel/logs/access_log |
awk '{print $1}' | sort | uniq -c | sort -rn | head -20
4. Saldırganı Engelleme
iptables -I INPUT -s SALDIRGAN_IP -j DROP
5. Saldırganın Yaptıklarını Analiz Etme
Son aktiviteleri incele:
grep -E "login_only=1|json-api|scripts2/listaccts|cpsess|passwd|createacct|terminal"
/usr/local/cpanel/logs/access_log | tail -200
Root işlemlerini filtrele:
grep "json-api" /usr/local/cpanel/logs/access_log |grep -v "version|logout" | tail -506. Backdoor Kontrolü
SSH anahtarlarını kontrol et:
cat /root/.ssh/authorized_keysŞüpheli ise temizle:
/root/.ssh/authorized_keys
7. Cron Kontrolü
crontab -l
ls -la /etc/cron*
Şüpheli görevleri kaldır.
8. Session Temizliği
rm -rf /var/cpanel/sessions/raw/*
rm -rf /var/cpanel/sessions/cache/*
9. cPanel Servisini Yeniden Başlat
/scripts/restartsrv_cpsrvd10. WHM Erişimini Geçici Olarak Kapat
iptables -A INPUT -p tcp --dport 2087 -j DROP
iptables -I INPUT -s SENIN_IP -p tcp --dport 2087 -j ACCEPT
11. Kalıcı Çözüm (En Önemli Adım)
Sunucuyu mutlaka güncelle:
/scripts/upcp --force
Versiyonu kontrol et:
/usr/local/cpanel/cpanel -V
12. Ek Güvenlik Önlemleri
SSH root login kapat (PermitRootLogin no)
Fail2Ban kur
CSF Firewall aktif et
ModSecurity kullan
Günlük log takibi yap
Sonuç
CVE-2026-41940 gibi kritik açıklar, sunucu güvenliğinde tek bir zafiyetin tüm sistemi ele geçirmeye yettiğini göstermektedir. Bu nedenle yalnızca temizlemek değil, sistemin tamamen güvenli hale getirilmesi gerekir.
Bu rehberde verilen adımlar, hem saldırıyı durdurmak hem de sistemde kalıcı iz bırakmış olabilecek tehditleri temizlemek için hazırlanmıştır.