Voltar para projetos

cPanel HF (High Forensic)

Cibersegurança

cPanel HF (High Forensic) CONCLUÍDO

Resumo técnico

hf.sh é um utilitário de auditoria forense para ambientes de hosting Linux, reescrito em Bash com base no hf.pl original (Michael Karr). O fluxo combina análise estática de arquivo com correlação temporal em diferentes trilhas operacionais para identificar vetor provável de criação/modificação de artefatos suspeitos.

Arquitetura de análise

O projeto opera em duas fases principais:

  1. Análise estática do arquivo

    2. - permissões, tamanho e metadados básicos; - atributo imutável (chattr +i); - comparação extensão x MIME real (detecção de spoofing); - detecção de padrões perigosos (eval, base64_decode, etc.); - hash SHA-256 com link para consulta no VirusTotal.

  2. Correlação por janela temporal

    3. - logs web (Apache/Nginx/domlogs); - rastros de painel (cPanel/DirectAdmin); - FTP (Pure-FTPd/ProFTPd/xferlog); - SSH/SFTP; - histórico de comandos (.bash_history, quando disponível).

Modos operacionais


# modo completo (recomendado com root)
hf.sh --mode full /home/account/public_html/index.php

# modo conta cPanel (restrito)
hf.sh --mode user /home/account/public_html/suspeito.php

# sem ANSI (pipeline/CI)
hf.sh --mode user --no-color /home/account/public_html/file.php

Semântica dos modos

  • full: tenta acesso às fontes privilegiadas do host.
  • user: restringe consultas para operação segura por conta cPanel, desativando buscas privilegiadas por design.

Variáveis úteis em produção


HF_MODE=user HF_UNPRIVILEGED=1 HF_AUDIT_USER=account hf.sh /home/account/public_html/a.php
  • HF_MODE=full|user
  • HF_UNPRIVILEGED=1
  • HF_AUDIT_USER=<conta>
  • NO_COLOR=1

Saída e interpretação prática

  • MATCH FOUND (...): trilha de evidência localizada.
  • SPOOFING DETECTED: tipo real diferente da extensão.
  • CRITICAL ALERT (immutable): artefato com flag +i.
  • link de hash VirusTotal para enriquecimento rápido.

Segurança e limitações conhecidas

  • Ferramenta somente leitura (não remove nem altera arquivo).
  • Acurácia depende de retenção/qualidade de logs e timezone correto.
  • bash_history não deve ser tratado como prova temporal absoluta.
  • Validação do usuário auditado para reduzir abuso de input.

Instalação e uso direto


curl -O https://raw.githubusercontent.com/sr00t3d/cpanel-hf/refs/heads/main/hf.sh
chmod +x hf.sh
./hf.sh --version

Execução direta via curl:


bash <(curl -fsSL 'https://raw.githubusercontent.com/sr00t3d/cpanel-hf/refs/heads/main/hf.sh') --mode user /home/account/public_html/file.php

Stack e ferramentas

  • Shell Script / Bash
  • cPanel/WHM
  • DirectAdmin
  • grep/awk/sed/zgrep
  • SHA-256 + VirusTotal hash lookup

Tags operacionais

  • Bash
  • Forensics
  • cPanel
  • DirectAdmin
  • Incident Response

Resultado operacional

  • Maior velocidade na determinação de provável vetor de comprometimento.
  • Padronização de auditoria forense em incidentes de upload malicioso.
  • Melhor qualidade de evidência para decisão de contenção e hardening.

Andamento no GitHub (issues)

Painel em tempo real com as issues mais recentes do repositório.

live feed

abrir issues no github
abertas (amostra): -- fechadas (amostra): -- base: -- ultimas issues

carregando andamento...

Resultados reais

Auditor forense standalone para Linux/cPanel/DirectAdmin que correlaciona metadados de arquivo com múltiplas fontes de log para estimar origem provável de upload/execução.

Arquitetura e organização

Execução e operação

O projeto segue fluxo reprodutível de execução com validação técnica em ambiente de produção/similar.

Screenshots

cPanel HF (High Forensic) screenshot 1

Falar sobre este projeto

Aplique este modelo no seu ambiente e acelere a entrega com consistência técnica.

Abrir formulário LinkedIn GitHub Ver issues Guia Blog