limo57640-crypto/cpanel-cve-41940-detector

GitHub: limo57640-crypto/cpanel-cve-41940-detector

针对 cPanel/WHM 服务器 CVE-2026-41940 漏洞利用后的只读 IOC 检测工具,帮助运维和安全团队快速排查服务器是否已被入侵。

Stars: 0 | Forks: 0

# cPanel CVE-2026-41940 IOC 检测器 用于 cPanel/WHM 服务器的只读 IOC 检测器,旨在检测可能受到 **CVE-2026-41940** 及相关入侵后活动影响的服务器。 该脚本会检查 `.sorry` 勒索软件特征、Mr_Rot13 Filemanager 后门痕迹、可疑的 cron 条目、SSH 密钥更改、C2 回调和 cPanel 日志异常。 [![CVE-2026-41940](https://img.shields.io/badge/CVE-2026--41940-critical-red)](https://nvd.nist.gov/vuln/detail/CVE-2026-41940) [![CVSS 9.8](https://img.shields.io/badge/CVSS-9.8-critical-red)](https://nvd.nist.gov/vuln/detail/CVE-2026-41940) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) ## Ping7 资源 - 完整自查指南:https://ping7.cc/guides/cpanel-cve-2026-41940-self-check/ - CVE 修复服务:https://ping7.cc/cve-repair/ - 修复报告示例:https://ping7.cc/cve-repair/sample-report/ - 实时 CVE 警报:https://t.me/ping7cve ## 快速开始 首先进行检查: ``` curl -fsSLO https://raw.githubusercontent.com/limo57640-crypto/cpanel-cve-41940-detector/main/detect.sh less detect.sh sudo bash detect.sh ``` 单行命令: ``` curl -sSL https://raw.githubusercontent.com/limo57640-crypto/cpanel-cve-41940-detector/main/detect.sh | sudo bash ``` ## 何时运行 在以下情况下,可在 cPanel/WHM 服务器上运行此脚本: - 服务器在 CVE-2026-41940 暴露后很晚才打上补丁。 - 出现 `.sorry` 或其他意外的加密文件扩展名。 - 托管客户报告了重定向、webshell 或文件被篡改。 - WHM 登录凭据、SSH 密钥、cron 条目或公共 Web 根目录发生意外更改。 - 您需要在深入审查入侵情况之前进行快速初步排查。 ## 检查内容 | 领域 | 信号 | | --- | --- | | cPanel 版本 | 对比 WHM/cPanel 版本与已修复版本 | | 勒索软件 | `.sorry`、`.ENCRYPTED` 及相关的加密文件扩展名 | | 后门 | Mr_Rot13 Filemanager 路径和特征码 | | C2 回调 | hosts 文件、DNS 或近期连接中的已知回调域名 | | Web 路径 | `cgi-sys`、`cgi-bin` 和公共 Web 根目录下的可疑文件 | | 持久化 | Root crontab、`/etc/cron.d`、SSH `authorized_keys` | | 日志 | cPanel 会话、cphulkd、Apache、ModSecurity 和 Root 登录异常 | ## 输出结果 - `CLEAN`:未发现明显的 IOC 匹配。 - `SUSPICIOUS`:发现异常,需要人工审查。 - `COMPROMISED`:存在强烈的 IOC 匹配,需要立即采取行动。 - `ERROR`:缺少访问权限、未找到 cPanel 或存在其他运行时问题。 ## 维修交接 如果您需要帮助解释结果,请发送: ``` Domain or server: WHM/cPanel version: CVE: CVE-2026-41940 Detector result: CLEAN / SUSPICIOUS / COMPROMISED / ERROR First suspicious timestamp: Symptoms: ransomware extension, unknown admin, redirect, SSH key, cron, webshell, or log anomaly Logs still available: yes / no ``` 请不要在第一条消息中发送密码。请提供症状、时间戳、截图和日志片段。 ## 为什么仅仅打补丁是不够的 如果服务器在漏洞被积极利用的时间窗口内处于暴露状态,攻击者可能已经添加了能够在 cPanel 更新后继续存在的持久化机制。此工具侧重于检测残留物和入侵后特征。 ## 如果发现问题该怎么办 1. 在清理之前保留日志和可疑文件。 2. 如果可能,对服务器进行快照。 3. 轮换 WHM、SSH、数据库和客户密码。 4. 仅在记录证据后才移除持久化机制。 5. 清理后重新运行检测器。 需要修复帮助:https://ping7.cc/cve-repair ## 防御范围 本项目仅用于防御目的。请仅在您拥有或被授权审计的系统上运行它。 它不包含漏洞利用代码、凭据窃取、未经授权的扫描或用于攻击性访问的说明。 ## 许可证 MIT
标签:cPanel, Cutter, DNS 反向解析, IOC检测, IP 地址批量处理, Shell脚本, 勒索软件, 库, 应急响应, 应用安全, 漏洞响应