cpanel'de kritik açık, sorry ransomware ile kitlesel saldırılar başlamış
arkadaşlar, cpanel’de çok ciddi bir açık ortaya çıktı ve aktif olarak sömürülüyor. CVE-2026-41940 numaralı bu zafiyet üzerinden “sorry” adında yeni bir fidye yazılımı kitlesel saldırılara başlamış durumda. cpanel kullanan hosting firmalarında ve web sitelerinde acil yamalama zamanı geldi.
spoiler: bu açık aktif sömürülüyor, kitlesel saldırılar var. elinizdeki tüm cpanel sunucularını hemen güncelleyin.
ne oluyor yani?
cpanel’de keşfedilen CVE-2026-41940 açığı üzerinden saldırganlar sisteme sızıp dosyaları şifreliyor. “sorry” diye adlandırılan bu fidye yazılımı kampanyası, özellikle hosting firmalarını ve web sitelerini hedef alıyor.
zafiyet kritik seviyede (CVSS skoru muhtemelen 9+ civarı) ve uzaktan kod çalıştırma (RCE) imkanı veriyor. yani saldırgan sisteme kimlik doğrulama olmadan girebiliyor, sonra da dosyaları şifreleyip fidye istiyor.
teknik detaylar
CVE-2026-41940 zafiyeti cpanel’in web arayüzünde bir güvenlik açığından kaynaklanıyor. saldırganlar bu açığı kullanarak:
- uzaktan kod çalıştırabiliyorlar (RCE)
- sistem yetkisi ele geçirebiliyorlar
- dosyaları şifreleyip fidye yazılımı yükleyebiliyorlar
saldırı vektörü: ağ üzerinden (network), kullanıcı etkileşimi gerektirmiyor, kimlik doğrulama gerekmeden sömürülebiliyor.
etkilenen sistemler
| Sistem/Ürün | Durum |
|---|---|
| cPanel (güncel olmayan versiyonlar) | ✅ Etkileniyor |
| WHM | ✅ Etkileniyor |
| Hosting sunucuları (cPanel kullanan) | ✅ Etkileniyor |
| Diğer kontrol panelleri | ❌ Etkilenmiyor |
sorry ransomware nedir?
“sorry” adlı bu fidye yazılımı, CVE-2026-41940 açığını kullanarak kitlesel saldırılar düzenliyor. dosyaları şifreledikten sonra kullanıcılara “sorry” mesajı bırakıyor (buradan isim alıyor).
klasik fidye yazılımı senaryosu: dosyaları şifrele, fidye iste, bitcoin bekle.
ne yapmalısınız - acil aksiyonlar
agalar, cpanel kullanıyorsanız hemen şunları yapın:
1. versiyonu kontrol edin
# cpanel versiyonunuzu öğrenin
/usr/local/cpanel/cpanel -V
# veya whm arayüzünden
# Home >> Server Configuration >> Update Preferences
2. acil güncelleme yapın
# cpanel güncellemesi
/scripts/upcp --force
# güncelleme sonrası servisleri yeniden başlatın
/scripts/restartsrv_httpd
/scripts/restartsrv_cpsrvd
dikkat: güncelleme yapmadan önce mutlaka yedek alın. sonra “niye site çöktü” diye ağlamayın.
3. yedeklerinizi kontrol edin
# mevcut yedekleri listeleyin
ls -lh /backup/
# kritik dosyaların yedeğini alın
tar -czf /root/cpanel-backup-$(date +%Y%m%d).tar.gz /usr/local/cpanel/
4. log’ları inceleyin
# şüpheli aktiviteleri kontrol edin
grep -i "CVE-2026-41940" /usr/local/cpanel/logs/error_log
tail -f /usr/local/cpanel/logs/access_log
# son erişimleri kontrol edin
last -a | head -20
geçici çözümler (acil yamalayamıyorsanız)
yamayı hemen uygulayamayan arkadaşlar için geçici önlemler:
1. güvenlik duvarı kuralları
# cpanel portlarına erişimi sınırlandırın
# sadece güvenilir ip'lerden erişim
iptables -A INPUT -p tcp --dport 2083 -s GÜVENİLİR_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 2083 -j DROP
# whm portu için
iptables -A INPUT -p tcp --dport 2087 -s GÜVENİLİR_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 2087 -j DROP
# kuralları kaydedin
service iptables save
2. csf (configserver firewall) kullanıyorsanız
# csf.deny dosyasına şüpheli ip'leri ekleyin
echo "ŞÜPHELİ_IP # CVE-2026-41940 saldırısı" >> /etc/csf/csf.deny
csf -r
3. erişim loglarını izleyin
# gerçek zamanlı izleme
tail -f /usr/local/cpanel/logs/access_log | grep -i "exploit\|shell\|cmd"
saldırıya uğradıysanız ne yapmalı?
eğer “sorry” fidye yazılımına yakalandıysanız:
- hemen sunucuyu izole edin - ağdan ayırın
- fidye ödemeyin - garantisi yok, teşvik ediyorsunuz
- adli analiz için log’ları koruyun
- yedekten geri yükleme yapın (varsa temiz yedek)
- şifre değiştirin - tüm hesaplar için
- güvenlik firmasına başvurun
# hızlıca ağdan ayırma
ifconfig eth0 down
# şifrelenmiş dosyaları bulma
find / -name "*.sorry" -o -name "*SORRY*" 2>/dev/null
kontrol listesi
şunları mutlaka yapın:
- cpanel versiyonunu kontrol ettim
- güncel versiyona yükselttim
- yedek aldım (güncelleme öncesi)
- log’ları inceledim
- güvenlik duvarı kurallarını sıkılaştırdım
- tüm hesap şifrelerini değiştirdim
- izleme/monitoring kurdum
- diğer sunucuları da kontrol ettim
ek öneriler
- two-factor authentication (2fa) aktif edin - cpanel/whm için mutlaka
- ip whitelist kullanın - admin paneline sadece belirli ip’lerden erişim
- düzenli yedek alın - otomatik yedekleme sistemleri kurun
- log monitoring - fail2ban, csf gibi araçlar kullanın
- güvenlik taraması - clamav ile düzenli tarama yapın
# clamav taraması
clamscan -r -i /home/ --log=/var/log/clamav-scan.log
hosting firması iseniz
agalar, hosting hizmeti veriyorsanız:
- tüm müşterilere duyuru yapın - panik yaratmadan bilgilendirin
- toplu güncelleme planlayın - bakım penceresi açıklayın
- monitoring artırın - anormal aktiviteleri hemen tespit edin
- destek ekibini bilgilendirin - müşteri sorularına hazır olun
- yedek stratejinizi gözden geçirin
edit: hosting firmaları için bu çok kritik, müşteri verilerinin güvenliği söz konusu. hemen aksiyona geçin.
kaynaklar
- BleepingComputer - Critical cPanel flaw mass-exploited in “Sorry” ransomware attacks
- CVE-2026-41940
- cPanel Resmi Güvenlik Duyuruları
son söz: arkadaşlar, bu çok ciddi bir durum. cpanel çok yaygın kullanılıyor ve kitlesel saldırılar devam ediyor. elinizdeki tüm cpanel sunucularını bugün güncelleyin, yarına bırakmayın. fidye yazılımına yakalanıp da “keşke güncellemeyi yapsaydım” demeyin.
spoiler: hosting firmasıysanız ve hala güncellemediyseniz, müşterileriniz sizden hesap soracak. hemen harekete geçin.
yedek almayı unutmayın, test ortamında deneyin, sonra production’a geçin. başarılar agalar. 🔴
Bu içerik yapay zeka tarafından oluşturulmuştur.