Cepat mengesan fail yang digodam melalui Cron/PHP: Superscan

SuperScan: Alat Pemantauan Perubahan Fail Laman Web

Fungsi teras:

SuperScan adalah skrip yang dinaik taraf yang direka untuk segera mengingatkan webmaster tentang sebarang perubahan pada fail mereka, termasuk penambahan, pengubahsuaian atau penghapusan. Ia berfungsi dengan mengimbas direktori yang ditentukan dan membandingkan hash fail semasa dengan nilai hash yang disimpan dalam pangkalan data yang sebelum ini diimbas.

cekap dan ringan:

alat SuperScan adalah cekap dan tidak menjejaskan prestasi pelayan. Mengimbas akaun dengan 1500 fail mengambil masa kira -kira 0.75 saat. Ia membolehkan imbasan yang kerap tanpa mengatasi webmaster, hanya melaporkan perubahan sejak imbasan terakhir dan menyediakan laporan ringkasan harian.

sokongan forensik dan peningkatan keselamatan:

SuperScan juga menyokong penyiasatan forensik, yang menyimpan tarikh dan masa yang diubahsuai terakhir fail dalam pangkalan data, serta nilai hash yang paling baru diimbas. Ia boleh berjalan di luar ruang laman web untuk mengelakkan hacks kasual dan juga boleh memberi amaran kepada webmaster mengenai isu pengekodan dengan menukar fail error_log.

Sebagai penggodam etika yang disahkan, saya tahu bahawa pencegahan adalah strategi terbaik untuk menghentikan penggodaman, tetapi jika penggodam benar -benar memecah garis pertahanan, semakin cepat anda tahu, semakin cepat anda boleh mengambil tindakan untuk mengehadkan kerugian anda.

Sebelum ini, saya memperkenalkan skrip yang dipanggil

hashscan

untuk menjejaki perubahan laman web. Skrip dijalankan melalui Cron Daily, membaca fail dalam direktori yang ditentukan (contohnya, direktori public_html akaun pada pelayan), menghasilkan nilai hash (untuk fail dengan sambungan fail tertentu), dan memindahkannya dengan sebelumnya diimbas dalam Pangkalan data membandingkan nilai hash. Ini adalah cara yang baik untuk pemilik laman web untuk mendapatkannya untuk menemui fail yang telah ditambah, ditambah, atau dipadamkan tepat pada masanya. Artikel ini akan memperkenalkan versi terkini skrip ini yang dipanggil

SuperScan

.

Kelebihan Superscan:

Kelebihan utama SuperScan ialah ia boleh melaporkan sebarang perubahan pada fail dalam akaun anda, sama ada perubahan fail ditambah, diubah atau dipadam. Superscan direka untuk mengelakkan pentadbir laman web yang luar biasa. Ia hanya menyediakan laporan perubahan sejak imbasan terakhir (lalai adalah satu jam, tetapi boleh dikonfigurasi melalui Cron) dan laporan ringkasan (lalai adalah setiap hari, tetapi juga boleh dikonfigurasi melalui Cron).

Oleh kerana ia mengambil masa kira -kira 0.75 saat untuk mengimbas akaun dengan 1500 fail, Superscan boleh berjalan dengan kerap tanpa menjejaskan prestasi pelayan.

Untuk menyokong penyiasatan forensik, tarikh dan masa yang diubahsuai terakhir fail, serta nilai hash yang paling baru -baru ini diimbas (dan imbasan sebelumnya fail yang diubah) disimpan dalam pangkalan data.

Tidak perlu menukar fail pengimbas, kerana semua pembolehubah ditetapkan dalam skrip konfigurasi yang diperlukan. Anda boleh memilih sambungan fail tertentu (atau semua sambungan fail) untuk mengimbas dalam skrip konfigurasi, atau jika anda memilih semua sambungan fail, anda boleh memilih sambungan fail untuk diabaikan. Di samping itu, anda boleh menentukan direktori bahawa pengimbas tidak akan mengimbas.

Walaupun fail SuperScan boleh diuji dalam ruang laman web, saya cadangkan memindahkan mereka keluar dari ruang laman web melalui Cron untuk kegunaan pengeluaran untuk mengelakkan penggodaman kasual.

Akhirnya, manfaat tambahan ialah perubahan kepada fail error_log (tiada lanjutan) ditangkap dan boleh menarik perhatian pentadbir laman web ke isu pengekodan yang hilang semasa proses ujian.

Logik SuperScan: Aliran logik Superscan adalah seperti berikut:

Baca maklumat asas fail dalam pangkalan data;

mengimbas fail sistem dan mengira nilai hash mereka;
1. Bandingkan fail asas dengan fail semasa untuk menentukan fail yang diubah untuk dihasilkan:
2. Ditambah senarai fail;
Senarai fail yang ditukar;
3. senarai fail yang dipadam;
   Proses setiap senarai fail yang diubah (kemas kini pangkalan data);
   • Sediakan dan hantar laporan jika diperlukan.
   pangkalan data, pembolehubah dan array kerja:
Untuk mengelakkan butiran di sini, saya telah menambah komen kepada semua skrip.
5. Singkatnya, terdapat tiga jadual dalam pangkalan data:

BASELINE: Mengandungi $ file_path, nilai hash fail, dan fail tarikh dan masa yang diubah suai terakhir. Saya juga menambah akaun supaya pelbagai akaun boleh menggunakan pangkalan data tunggal; Sejarah: Rekod setiap perubahan yang dikesan (atau tiada perubahan) dan setiap imbasan; Diimbas: Rekod Tarikh dan Masa Ringkasan Imbasan, serta bilangan perubahan dan akaun yang berkaitan.

Amaran #1:

Saya perlu menekankan bahawa pembolehubah ujian $ ditetapkan oleh configure.php akan mencetuskan sejumlah besar output, jadi ia hanya boleh digunakan untuk ujian dan tidak semasa pekerjaan cron!

Amaran #2:
• Oleh kerana laluan/ke/fail digunakan sebagai kunci, ia mestilah unik. Ini bermakna pelbagai akaun tidak boleh mengimbas fail yang sama.
Amaran #3:

Selain itu, pelayan Windows akan menggunakan backslashes, yang akan diubah menjadi slash dengan segera kerana mereka akan menyebabkan aksara dalam pangkalan data hilang. Di samping itu, menggunakan apostrophes dalam nama fail akan menyebabkan masalah dengan pertanyaan pangkalan data.

array kerja direka untuk memanfaatkan fungsi PHP yang mengakses kekunci ($ file_path; ini juga merupakan alat penyokong struktur fail, jadi tidak pernah berubah $ iter- & gt; kunci ()).

$ asas dibaca sebelum memulakan imbasan, $ current adalah hasil imbasan, dan $ ditambah, $ diubah dan $ dipadam susunan mengumpul perubahan dari $ asas dan digunakan untuk mengemas kini $ asas untuk imbasan seterusnya.

fail:

fail superscan.zip mengandungi 7 fail:

• createtables.sql, boleh digunakan untuk menetapkan jadual;
readme.txt, memberikan gambaran keseluruhan skrip superscan; [
• reporter.php, akan memberikan ringkasan yang paling baru -baru ini diimbas melalui Cron;
cron.txt, menyediakan contoh cron arahan untuk scanner.php dan reporter.php.
Pembersihan:

Buat laporan $ apabila perubahan fail dikesan dan simpan dan hantar e -mel apabila ia bukan "laporan negatif". Laporan ringkasan digunakan untuk mendapatkan "perasaan hangat, samar -samar" apabila anda tidak menerima laporan perubahan.

Semasa proses pembersihan, rekod dalam jadual sejarah dan imbasan selama lebih dari 30 hari dibersihkan secara automatik untuk mengelakkan pangkalan data dari tumbuh -tatas yang tidak terhingga, susunan besar dimusnahkan (diset semula ke kosong), dan pangkalan data ditutup.

Ringkasan:

Saya percaya SuperScan telah bertambah baik atas usaha saya yang terdahulu dan merupakan alat yang bernilai menaik taraf. Ia sering boleh memberitahu fail yang berubah, dan "pelaporan negatif" tidak akan mengatasi webmaster dengan pemberitahuan "tidak berubah" yang tidak perlu.

muat turun kod superscan dari github

Penghargaan:

SuperScan dicadangkan oleh Han Wechgelaer (NL) yang menghantar e -mel untuk melanjutkan skrip hashscan terdahulu saya untuk menangkap sejarah perubahan fail akaun, serta melakukan penilaian yang lebih kerap dan menambah ringkasan harian. Han sangat murah hati dengan menyediakan salinan permulaannya pada projek ini, dan di antara kami, ini berkembang menjadi Superscan. Tanpa pengawasan dan bantuan Han yang lembut, Superscan tidak akan pernah bermula, dan sudah tentu ia tidak akan menjadi alat yang sangat baik hari ini.

Saya ingin tahu bagaimana anda melihat skrip ini, atau jika anda mempunyai sebarang pertanyaan atau maklum balas.

Soalan Lazim untuk mengesan fail yang digodam dengan Cron.php Superscan:

Apa itu Cron.php Superscan dan bagaimana ia berfungsi?

Cron.php SuperScan adalah alat yang kuat yang direka untuk mengesan dan mengenal pasti fail yang digodam dalam sistem. Ia berfungsi dengan mengimbas fail sistem secara teratur (biasanya ditetapkan oleh pengguna) dan memberi amaran kepada sebarang fail yang mencurigakan atau diubahsuai apabila ia dikesan. Alat ini amat berguna untuk webmaster dan pentadbir sistem yang perlu mengekalkan keselamatan sistem dan integriti.

bagaimana saya menyediakan cron.php superscan pada sistem saya?

Menyediakan Cron.php Superscan melibatkan skrip memuat naik ke pelayan anda dan mengkonfigurasi mereka untuk berjalan secara teratur. Ini boleh dilakukan melalui panel kawalan pelayan atau melalui baris arahan. Sebaik sahaja persediaan selesai, skrip akan secara automatik mengimbas fail sistem anda dan memberi amaran kepada anda tentang sebarang ancaman yang berpotensi.

Cron.php Apakah jenis fail yang boleh dikesan superscan?

Cron.php SuperScan mengesan pelbagai jenis fail yang biasanya dikaitkan dengan penggodam. Ini termasuk fail PHP, fail HTML, fail JavaScript, dan banyak lagi. Ia juga boleh mengesan fail dan direktori tersembunyi yang boleh digunakan oleh penggodam untuk akses yang tidak dibenarkan ke sistem anda.

cron.php Bagaimana Superscan dibandingkan dengan alat pengimbasan fail lain?

Cron.php SuperScan menyediakan penyelesaian yang lebih komprehensif dan automatik berbanding dengan alat pengimbasan fail lain. Walaupun alat lain mungkin memerlukan pengimbasan dan analisis manual, Cron.php Superscan mengautomasikan proses itu, menjimatkan masa dan usaha anda. Ia juga menyediakan laporan terperinci mengenai hasilnya, menjadikannya lebih mudah bagi anda untuk mengenal pasti dan menangani ancaman yang berpotensi.

Cron.php Bolehkah Superscan menghalang penggodaman?

Walaupun Cron.php SuperScan adalah alat yang berkesan untuk mengesan fail yang digodam, ia tidak menghalang penggodam. Fungsi utamanya adalah untuk memberi amaran kepada anda tentang ancaman yang berpotensi supaya anda dapat mengambil langkah yang sesuai. Walau bagaimanapun, dengan menggunakan alat ini dengan kerap dapat membantu anda mengekalkan keselamatan sistem anda dan mengurangkan risiko penggodaman yang berjaya.

Berapa kerap saya harus menjalankan Cron.php Superscan?

Kekerapan imbasan bergantung kepada keperluan khusus anda dan tahap keselamatan yang diperlukan oleh sistem. Walau bagaimanapun, secara amnya disyorkan untuk menjalankan Cron.php SuperScan sekurang -kurangnya sekali sehari untuk keselamatan optimum.

Apa yang harus saya lakukan jika Cron.php SuperScan mengesan fail yang digodam?

Jika Cron.php SuperScan mengesan fail yang digodam, tindakan mesti diambil dengan segera. Ini mungkin termasuk memadam fail, memulihkan fail dari sandaran yang bersih, atau menghubungi profesional keselamatan siber untuk mendapatkan bantuan lanjut.

Bolehkah saya menyesuaikan tetapan Cron.php SuperScan?

Ya, Cron.php Superscan membolehkan anda menyesuaikan tetapannya untuk memenuhi keperluan khusus anda. Ini termasuk menetapkan kekerapan imbasan, menentukan jenis fail untuk mengimbas, dan mengkonfigurasi pemberitahuan amaran.

Adakah Cron.php Superscan sesuai untuk semua sistem?

Cron.php SuperScan direka untuk bekerja dengan kebanyakan sistem yang dibolehkan PHP. Walau bagaimanapun, ia mungkin serasi dengan tidak semua sistem, jadi disyorkan untuk memeriksa keperluan sistem sebelum pemasangan.

Adakah cron.php superscan percuma untuk digunakan?

Cron.php SuperScan adalah alat berbayar, yang bermaksud ia perlu digunakan untuk asas yang dibayar. Tetapi, memandangkan tahap keselamatan yang ditawarkannya dan kos berpotensi hack yang berjaya, ia adalah pelaburan yang berbaloi untuk kebanyakan perniagaan dan individu.

Atas ialah kandungan terperinci Cepat mengesan fail yang digodam melalui Cron/PHP: Superscan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!