limo57640-crypto/nginx-rift-detector

# NGINX Rift CVE-2026-42945 检测工具 针对 **CVE-2026-42945**（又称 **NGINX Rift**）的只读自检脚本。 该工具用于检查 NGINX 服务器是否可能受到严重的 rewrite-module 堆溢出漏洞影响，以及日志中是否出现可疑的漏洞利用指标。 [](https://nvd.nist.gov/vuln/detail/CVE-2026-42945) [](https://nvd.nist.gov/vuln/detail/CVE-2026-42945) [](LICENSE) ## Ping7 资源 - 完整自检指南：https://ping7.cc/guides/nginx-rift-cve-2026-42945-self-check/ - CVE 修复服务：https://ping7.cc/cve-repair/ - 修复报告示例：https://ping7.cc/cve-repair/sample-report/ - 实时 CVE 预警：https://t.me/ping7cve ## 快速开始 先进行检查： ``` curl -fsSLO https://raw.githubusercontent.com/limo57640-crypto/nginx-rift-detector/main/detect.sh less detect.sh sudo bash detect.sh ``` 单行命令： ``` curl -sSL https://raw.githubusercontent.com/limo57640-crypto/nginx-rift-detector/main/detect.sh | sudo bash ``` ## 检测内容 | 领域 | 指标 | | --- | --- | | 版本 | 与已修复版本进行对比的 NGINX 版本 | | Rewrite 配置 | 使用捕获组和查询字符串的危险 rewrite 模式 | | 访问日志 | 极长的 URI 和大量的百分号编码 | | 错误日志 | Worker 崩溃循环和内存损坏症状 | | ASLR | Linux ASLR 是否被禁用 | | Worker 用户 | NGINX worker 是否以 root 身份运行 | ## 何时运行 可在以下 NGINX 服务器上运行此脚本： - 使用大量 rewrite 的配置。 - 在 CVE 披露后未能及时修补。 - 暴露于公共反向代理、CDN 源站、API 或 WordPress 流量。 - 出现无法解释的 worker 崩溃或异常的长请求路径。 ## 输出结果 脚本会输出以下状态之一： - `CLEAN`：未发现明显的漏洞暴露或利用指标。 - `VULNERABLE`：版本/配置指标表明存在暴露风险。 - `SUSPICIOUS`：日志或运行时指标需要人工审查。 ## 修复路径 1. 将 NGINX 升级至供应商提供的已修复版本。 2. 将不安全的 rewrite 捕获模式替换为更安全的命名捕获。 3. 保持 ASLR 处于启用状态。 4. 审查暴露期间的访问和错误日志。 5. 重启 NGINX 并确认检测工具报告为 clean。 ## 维修交接 如果您需要帮助解读结果，请发送： ``` Domain or server: NGINX version: CVE: CVE-2026-42945 Detector result: CLEAN / VULNERABLE / SUSPICIOUS First suspicious timestamp: Symptoms: worker crash, long URI logs, redirect, config change, or scanner result Logs still available: yes / no ``` 不要在第一条消息中发送密码。请发送症状、时间戳、屏幕截图和日志片段。 需要人工支持：https://ping7.cc/cve-repair ## 防御范围 本项目仅用于防御目的。请仅在您拥有或被授权审计的系统上运行。 它不包含漏洞利用代码、凭据窃取、未经授权的扫描或用于攻击性访问的说明。 ## 许可证 MIT

标签：Cutter, Nginx, Shell脚本, URL发现, Web报告查看器, 关系图谱, 基线检查, 安全检测, 应用安全, 系统巡检