یلدا، بهانهای برای باهم بودن 
X-Panel یک نرم افزار تحت وب جهت مدیریت اکانت SSH است که به کمک آن میتوانید کاربران را مدیریت کرده و محدودیت اعمال کنید.به تازگی کاربران برای رفع محدودیتهای اینترنتی شروع به استفاده از X-Panel کردهاند. این این کد توسط php و با الگو گرفتن از مدل MVC نوشته شده ولی حداقلهای امنیتی این مدل و جداسازیها در این کد رعایت نشده است. بنابراین در یک کلام X-Panel از لحاظ امنیتی بسیار در سطح خطرناکی قرار دارد و کاربران باید استفاده از آن را هر چه سریعتر از دستور کار خود خارچ کنند.
چرا نباید از X-panel استفاده کنیم؟
تمام کدهای پنل تحت وب، در روت وبسرور قابل دسترسی هستند، اما در مدل MVC، کدها باید در سطحی بالاتر از وب سرور قرار داشته باشند و توسط وبسرور دسترسی مقدور نباشد.
همان طور که می دانید ایکس پنل روی سرور های مجازی لینوکسی نصب می شود و در اسکریپت نصب این ابزار، تمام فایلهای کانفیگ پنل وب و کتابخانهها با دسترسی خواندن/نوشتن همگانی روی وب سرور قرار گرفتهاند. یعنی حداقل امنیت در این کدها رعایت نشده و استفاده از آن میتواند برای کاربران فاجعه آفرین باشد.
در ضمن دسترسی ۷۷۷ به فایلهای حیاتی روی وب سرور، بسیار مشکل آفرین طراحی شده است و متاسفانه خود کد به تنهایی، برای یوزر وبسرور writable است. این اتفاق یعنی حملات DDos به راحتی امکان پذیر خواهد بود.
فاجعه امنیتی بعدی این است که فایل کانفیگ پنل که حاوی نام کاربری و پسورد ادمین دیتابیس هست، به صورت Clear-text روی وب سرور پابلیش شده است.
اقدامات لازم
اگر تاکنون از این کد استفاده کرده اید، اکیدا توصیه میکنیم که همین الان این کد را پاک کنید و تمام پسوردها را تغییر دهید.
اگه سرویس دیگه روی سرور ندارید، سیستمعامل رو نصب مجدد کنید و حتما پسورد جدیدی برای root انتخاب کنید.
اگه نمیتوانید سیستمعامل را نصب مجدد کنید، این دستورات را اجرا کنید:
۱. سرویس آپاچی رو حذف کنید:
Ubuntu: sudo apt remove apache2
REHL: sudo yum remove apache2
۲. فولدر برنامه x-panel رو از مسیر وب حذف کنید:
sudo rm -rf /var/www/html/
۳. پسورد روت سرور رو عوض کنید:
passwd root
۴. لیست کاربرها رو بگیرید و بجز root الباقی رو پاک کنید یا پسوردشون رو عوض کنید.
دریافت لیست کاربران:
awk -F: ‘($3>=1000)&&($1!=”nobody”){print $1}’ /etc/passwd
حذف کاربر:
sudo userdel -rf username
تغییر پسورد کاربر:
passwd username