Cpanel 和 whm 被黑了，但是

Posted 2023-02-25

【中文标题】Cpanel 和 whm 被黑了，但是

【英文标题】：Cpanel and whm got hacked but

【发布时间】：2021-09-10 04:10:13

【问题描述】：

我有一些子域在 wordpress 中运行。他们工作得很好，但是当我尝试安装、删除或更新任何插件时，wordpress 向我显示一条消息，我需要连接 ftp 和所有信息，而我们没有。后来我尝试登录我的cpanel whm，我被重定向回错误页面

Internal Server Error
500

Error ID 25356b0625763
cpsrvd Server at mydomain.test 

可能出了什么问题，我该如何恢复？

是的，我看到黑客放置了一个他们入侵它的文本。在主站点中，没有托管任何内容，所有内容都在子域中..

【参考方案1】：

我写了一些文章专门回答了您提出的有关如何恢复的问题：

https://support.cpanel.net/hc/en-us/articles/360055310013-What-can-be-done-if-a-cPanel-account-is-compromised- https://support.cpanel.net/hc/en-us/articles/360061360914-Is-it-possible-to-clean-malware-from-a-hacked-website-

至于出了什么问题，这可能是并且通常是一个非常复杂的话题，需要高水平的专业知识才能正确准确地诊断。

由于您需要提供大量可识别的服务器信息，因此通过 *** 进行此类调查既冒险又不合理。

我还想提一下，由于帐户中托管的网站和脚本中的漏洞而发生帐户泄露，除非攻击是利用符号链接竞赛，否则这些泄露将包含在该个人 cPanel 帐户中漏洞，应该在内核级别解决才能正确完成： https://docs.cpanel.net/ea4/apache/symlink-race-condition-protection/

cPanel 的安全顾问会告知您特定服务器上符号链接竞争漏洞的状态：

WHM >> 首页 >> 安全中心 >> 安全顾问

cPanel 或 WHM 中没有已知的漏洞会允许帐户级别的入侵以逃避帐户或允许发生 root 入侵。

如果您怀疑自己在 cPanel 或 WHM 中发现了一个零日漏洞，您应该向 cPanel 支持提交工单，因为该问题将被严肃对待。

但是，调查和诊断由于网站或脚本中的漏洞而导致的帐户级入侵的原因的过程是安全专家最有能力为您处理的事情。通常，您需要寻找 Web 应用程序安全专家。

至于您看到的 cpsrvd（处理对 cPanel、Webmail 和 WHM 接口的请求的 cPanel 网络服务器）提供的 500 错误，这不太可能与入侵有关。您通常可以通过查看 cPanel 错误日志来找到有关 cpsrvd 500 错误的更多信息： /usr/local/cpanel/logs/error_log

cPanel 支持人员随时乐意为您在 cpsrvd 上遇到的任何 500 错误提供帮助。