🔍 Detección 📅 Mayo 2026 ⏱️ 7 min de lectura

¿Cómo saber si mi cPanel ha sido hackeado? Señales claras de compromiso

La mayoría de los compromisos en cPanel se descubren tarde porque las señales pasan desapercibidas. Te mostramos qué buscar en logs, archivos y comportamientos del servidor para detectar un ataque antes de que cause daños mayores.

📌 Resumen rápido

  • Las primeras señales de compromiso aparecen en los logs, no en alertas automáticas.
  • Las cuentas de administrador no autorizadas, llaves SSH desconocidas y procesos extraños son indicadores críticos.
  • Los atacantes modernos modifican la página de login para robar credenciales sin que el administrador lo note.
  • Si encuentras una sola de las señales descritas, asume el compromiso y activa el plan de respuesta a incidentes.

¿Por qué los compromisos en cPanel pasan desapercibidos?

cPanel es una herramienta diseñada para operar de manera autónoma: hace tareas en background, procesa muchas conexiones simultáneas y maneja una superficie amplia de servicios. Eso hace que actividad anómala —especialmente de actores con disciplina operativa como Mr_Rot13— pueda mezclarse con el ruido normal del servidor durante días o semanas antes de ser detectada.

💡

Las herramientas de seguridad empresarial estándar (EDR, DLP, SIEM corporativo) generalmente no están afinadas para la capa de cPanel. Por eso, la detección depende en gran medida de revisar manualmente logs y configuraciones.

1. Señales en los logs del sistema

Intentos repetidos de login desde IPs aleatorias Crítico

Decenas o cientos de intentos de autenticación en cortos períodos, especialmente sobre las interfaces de WHM (puerto 2087) o cPanel (puerto 2083) desde IPs sin relación con tu uso normal. Revisa:

tail -f /usr/local/cpanel/logs/access_log tail -f /var/log/secure

Llamadas API extrañas contra endpoints de WHM Crítico

Solicitudes hacia endpoints administrativos de WHM o llamadas a la API que no coinciden con la actividad normal del administrador. En campañas como la de CVE-2026-41940, los scripts automatizados intentan crear cuentas, modificar configuraciones o subir archivos.

Subidas de scripts inesperadas Alta

Archivos PHP, Perl o scripts shell en directorios donde normalmente no aparecen (especialmente en /usr/local/cpanel/cgi-sys/ o directorios públicos de cuentas). Busca específicamente:

find /home -name "*.php" -mtime -7 -ls find / -name "cpanel.py" 2>/dev/null

2. Señales en cuentas y permisos

Cuentas administrativas nuevas en WHM Crítico

Si aparecen reseller accounts o usuarios root adicionales que tú no creaste, es prácticamente prueba de compromiso. Revisa la lista de cuentas en WHM y compárala con tu inventario conocido.

Llaves SSH desconocidas en authorized_keys Crítico

Los atacantes plantan llaves SSH para acceso persistente. En la campaña de Mr_Rot13 se observaron entradas con el comentario cpanel-updater, pero pueden aparecer con cualquier etiqueta. Revisa:

cat /root/.ssh/authorized_keys for user in $(cut -f1 -d: /etc/passwd); do ls /home/$user/.ssh/authorized_keys 2>/dev/null && cat /home/$user/.ssh/authorized_keys done

Contraseñas cambiadas sin tu intervención Alta

Si no puedes acceder con tu contraseña habitual o ves alertas de cambio de contraseña en logs sin que hayas iniciado la acción, sospecha inmediatamente.

3. Señales en procesos y conexiones de red

Procesos sospechosos consumiendo CPU Crítico

Procesos con nombres aleatorios, ubicados en directorios temporales (/tmp, /var/tmp, /dev/shm), o consumiendo CPU constantemente al 100% son señales clásicas de criptomineros o malware. Revisa:

ps auxf | sort -nrk 3,3 | head -20 lsof -p <PID_sospechoso>

Conexiones salientes anómalas Crítico

El servidor estableciendo conexiones hacia dominios desconocidos, especialmente hacia la API de Telegram (api.telegram.org) o IPs reportadas como infraestructura maliciosa. Revisa:

netstat -antp | grep ESTABLISHED ss -tupn

Puertos abiertos no esperados Alta

Servicios escuchando en puertos no estándares pueden ser consolas de control de un backdoor (como Filemanager, que abre una interfaz web en un puerto TCP custom).

ss -tlnp netstat -tlnp

4. Señales en archivos del servidor

Webshells en directorios CGI o públicos Crítico

Los atacantes plantan webshells —scripts PHP que permiten control remoto— en directorios accesibles desde la web. Nombres comunes: cpanel.py (campaña Mr_Rot13), shell.php, cmd.php, nombres aleatorios. Busca archivos PHP con funciones sospechosas:

grep -rEl "(eval|base64_decode|exec|system|passthru|shell_exec)\s*\(" /home/*/public_html/

Página de login de cPanel modificada Crítico

Una táctica especialmente sigilosa: los atacantes inyectan JavaScript en la página de login para robar credenciales mientras los usuarios siguen accediendo normalmente. Compara los archivos de cPanel con los originales mediante checksum o verificaciones de integridad.

Archivos eliminados o modificados después de la instalación inicial Alta

Algunos infectores se autoeliminan después de ejecutarse para reducir su huella forense. Si encuentras gaps temporales sospechosos en los logs o referencias a archivos que ya no existen, investiga.

5. Señales en correo y reputación

Picos de envío de correo desde tus cuentas Alta

Si el volumen de correo saliente se dispara, es probable que tu servidor esté siendo usado para spam o phishing. Revisa la cola de correo:

exim -bpc exim -bp | head -50

Inclusión en blacklists de spam Media

Si te llegan rebotes inesperados o herramientas como MXToolbox muestran tu IP en listas como Spamhaus o SpamCop, hay una alta probabilidad de uso malicioso desde tu servidor.

6. Señales en trabajos programados (cron jobs)

Cron jobs desconocidos Crítico

Los atacantes establecen persistencia mediante cron jobs que reinstalan el malware si es eliminado. Revisa todos los crontabs:

crontab -l for user in $(cut -f1 -d: /etc/passwd); do echo "=== $user ===" crontab -u $user -l 2>/dev/null done cat /etc/crontab ls -la /etc/cron.*

¿Qué hago si encuentro alguna de estas señales?

🚨

No reinicies el servidor ni elimines archivos sospechosos de inmediato. Eso puede destruir evidencia y dificultar la respuesta. Lo primero es contener el daño y preservar contexto.

Pasos inmediatos al detectar compromiso:

  1. Aísla el servidor del tráfico externo si es posible, o limita el acceso a IPs administrativas mediante firewall.
  2. Toma una snapshot completa del servidor en su estado actual para análisis forense.
  3. Captura los logs relevantes antes de cualquier intervención: cPanel, Apache/NGINX, secure, auth, mail, cron.
  4. Cambia todas las contraseñas administrativas y rota las llaves SSH y API.
  5. Activa tu plan de respuesta a incidentes o contacta a un equipo especializado.
  6. Restaura desde un backup limpio previo al compromiso (verificado, no solo "el último").
⚠️

Una sola señal de las descritas no siempre prueba un compromiso, pero dos o más combinadas son razón suficiente para tratar el caso como incidente confirmado y activar la respuesta.

Herramientas que ayudan en la detección

  • ImunifyAV / Imunify360: escaneo de malware específico para entornos cPanel.
  • CPGuard: protección y detección con foco en hosting compartido.
  • Maldet (Linux Malware Detect): escáner de malware open source.
  • rkhunter / chkrootkit: detección de rootkits comunes.
  • OSSEC / Wazuh: HIDS con monitoreo de integridad de archivos.
  • cPGuard / cxs (ConfigServer eXploit Scanner): herramientas comerciales con buena cobertura.

📚 Fuentes y referencias

  1. SecPod Blog – Filemanager Fever: MrRot_13's cPanel Exploitation Campaign Is Spreading Fast. secpod.com
  2. SupportPRO – Massive cPanel Security Flaws in 2026: What Admins Need to Know. supportpro.com
  3. CSO Online – cPanel flaw exposes enterprises to hosting supply-chain risks. csoonline.com
  4. MITRE ATT&CK – Tácticas y técnicas de adversarios. attack.mitre.org
  5. cPanel Documentation – Security Best Practices. docs.cpanel.net
  6. CISA – Detecting Malicious Activity. cisa.gov