3tternp/CVE-2026-41940---cPanel-WHM-check

# IOC Check 会话文件 ## 概述 `ioc_checksessions_files.sh` 是 cPanel 提供的检测脚本，在官方 cPanel 安全公告中被引用： **安全更新：CVE-2026-41940 - cPanel & WHM / WP2 安全更新 04/28/2026** 该脚本用于扫描 cPanel/WHM 会话文件，查找与 CVE-2026-41940 相关的可疑失陷指标 (IOCs)、失败的漏洞利用尝试以及已确认的漏洞利用痕迹。 CVE-2026-41940 是一个影响 cPanel 软件（包括 DNSOnly）和 WP2 的身份验证绕过问题。安全公告建议立即进行补丁修补，并提供了此检测脚本以帮助管理员识别会话文件中可能的失陷指标。 此脚本适用于： - cPanel/WHM 管理员 - 托管服务提供商 - SOC 分析师 - 事件响应团队 - 调查潜在漏洞利用活动的系统管理员 ## 官方公告参考 此检测脚本基于 cPanel 在其官方公告中提供的工具： ``` Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026 ``` 根据 cPanel 公告的更新日志： ``` 04/29/26 02:46PM CST: Updated article's required actions and added detection script. 05/01/26 08:05AM CST: Temporarily removed the current detection script while we confirm a new version. 05/01/26 11:52AM CST: An updated version of the detection script has been added. This addresses scenarios where false positives were being detected. ``` 管理员应始终验证其在生产环境中运行的是否为来自官方 cPanel 公告的最新版脚本。 ## 目的 该脚本检查位于 cPanel 会话目录下的会话文件，并识别可疑模式，例如： - 格式错误的会话行 - 被注入的 `cp_security_token` 值 - `badpass` 会话来源与异常身份验证标记的结合 - `token_denied` 指标 - 失败的漏洞利用尝试 - 已确认的漏洞利用痕迹 ## 用法 使用 Bash 运行此脚本： ``` /bin/bash ./ioc_checksessions_files.sh ``` 根据 cPanel 提供的脚本版本，可能会有一些可选标志： ``` /bin/bash ./ioc_checksessions_files.sh --help ``` 公告脚本中显示的常见选项包括： ``` --verbose --purge --yes or -y --sessions-dir DIR --access-log FILE --help or -h ``` ## 预期输出 执行后，脚本会生成类似于以下示例的扫描摘要： ``` ================================================================= SCAN SUMMARY ================================================================= CRITICAL findings: 1 WARNING findings: 0 ATTEMPT findings: 1 INFO findings: 0 Total : 2 ----------------------------------------------------------------- ================================================================= SESSION: /var/cpanel/sessions/raw/:cusK9ghEd6MPo4eW ================================================================= Findings: [ATTEMPT ] Failed exploit attempt (badpass origin, token_denied, no auth markers, anomalous pass= line) ================================================================= SESSION: /var/cpanel/sessions/raw/:TMnjH0tBK6jP2V3I ================================================================= Findings: [CRITICAL] Exploitation artifact - token_denied with injected cp_security_token (badpass origin, token used) ``` ## 发现结果严重性说明 | 严重性 | 描述 | |---|---| | `CRITICAL` | 表示已确认或高度可疑的漏洞利用痕迹，需要立即采取行动。 | | `WARNING` | 表示可疑行为或弱指标，应进一步审查。 | | `ATTEMPT` | 表示失败的漏洞利用尝试或可疑的请求模式。 | | `INFO` | 提供可能有助于调查或关联的信息性发现。 | ## 失陷指标警报 如果检测到失陷指标，脚本可能会显示类似于以下内容的警报： ``` [!] INDICATORS OF COMPROMISE DETECTED - IMMEDIATE ACTION REQUIRED ``` 当出现此警报时，在验证排除之前，应将系统视为可能已失陷。 ## 立即响应措施 如果识别出 `CRITICAL` 发现结果，请立即执行以下操作： 1. 清除所有受影响的会话。 2. 强制 `root` 和所有 WHM 用户重置密码。 3. 审计 `/var/log/wtmp` 和 WHM 访问日志以查找未经授权的访问。 4. 检查持久化机制，包括： - Cron 任务 - 未经授权的 SSH 密钥 - Web shell - 后门 - 可疑的系统用户 - 被修改的启动脚本或服务 ## 推荐的补丁修补和验证操作 在仅依赖 IOC 检测结果之前，管理员应确保受影响的 cPanel/WHM 或 WP2 系统已按照官方 cPanel 公告进行了补丁修补。 公告中推荐的验证命令包括： ``` /scripts/upcp --force /usr/local/cpanel/cpanel -V /scripts/restartsrv_cpsrvd --hard ``` 如果服务器固定了特定的 cPanel 版本或禁用了自动更新，管理员应手动验证服务器是否已更新至修补后的版本。 ## 建议的调查区域 安全团队应在调查期间检查以下位置： ``` /var/cpanel/sessions/raw/ /var/cpanel/sessions/preauth/ /var/log/wtmp /usr/local/cpanel/logs/access_log /usr/local/cpanel/logs/login_log /root/.ssh/authorized_keys /etc/cron* /var/spool/cron/ ``` ## 建议的日志审查 在调查期间，请审查以下内容： - WHM 登录活动 - cPanel 访问日志 - 会话创建时间戳 - Root 级别登录历史记录 - 异常的源 IP 地址 - 最近修改的会话文件 - 未经授权的 SSH 密钥添加 - 可疑的 cron 条目 - 意外的系统用户 - 托管账户下的 Web shell 指标 ## 重要提示 - 此脚本由 cPanel 作为 CVE-2026-41940 公告的一部分提供。 - 请使用来自官方 cPanel 公告的最新版脚本，特别是因为公告指出已发布更新版脚本以解决误报情况。 - IOC 检测不能代替补丁修补。请先修补受影响的 cPanel/WHM 或 WP2 系统，然后再执行检测和取证审查。 - 请以适当的权限运行脚本，以确保它能够读取所需的会话和日志文件。 - 在删除可疑会话文件之前保留其副本，以用于取证分析。 - 将发现结果与 WHM 访问日志、身份验证日志和网络日志进行关联。 - 如果确认存在失陷情况，请考虑在遏制并保留证据之后，将账户迁移到已知干净的服务器，或从已知的良好备份中重建服务器。 ## 免责声明 本 README 旨在记录 cPanel 提供的检测脚本的用法，仅用于防御性安全监控、事件响应和授权的系统管理。 仅在您获得明确授权执行安全调查活动的系统上使用此脚本。 请始终参考官方 cPanel 公告，以获取最新的说明、修补版本、缓解措施和脚本更新。

标签：CISA项目, cPanel, Cutter, CVE-2026-41940, IOC检测, Shell脚本, SOC分析, URL发现, Web主机管理, WHM, 会话安全, 安全检测, 安全脚本, 库, 应急响应, 应用安全, 恶意特征, 漏洞修复, 系统管理员, 网络安全培训, 身份验证绕过