ngksiva/cpanel-forensics

# CVE-2026-41940 漏洞后 cPanel/WHM 取证 用于检查服务器在遭受 CVE-2026-41940（CVSS 9.8）漏洞攻击后状态的 Bash 脚本。 攻击者在 64 天内拥有无需密码的 root 访问权限 —— 补丁无法清除他们已经植入的内容。 ## 运行 ``` sudo bash cpanel_forensics.sh ``` 报告将保存在 `/tmp/forensics_report_日期.txt` ## 检查内容 - 所有用户的 SSH authorized_keys - UID 为 0 的用户 - 通过 ld.so.preload 植入的 Rootkit - Alias、PATH 及命令替换 - zsh/bash 的自启动项 - Cron 任务、systemd unit - 网络活动、运行已删除二进制文件的进程 - Webshell、.sorry 文件 - MySQL：secure_file_priv、plugin_dir、UDF、触发器、权限、二进制日志 (binary log) 网络安全频道：[t.me/safebdv](https://t.me/safebdv)

标签：cPanel, CVE-2026-41940, CVSS 9.8, IP 地址批量处理, Webshell检测, WHM, 后门查杀, 库, 应急响应, 应用安全, 持久化后门, 数字取证, 漏洞复现, 系统排查, 网络安全, 网络安全审计, 自动化脚本, 隐私保护, 高危漏洞