手把手玩转网站防篡改-重构版

版本迭代日志

• 网站防篡改-重构版1.3迭代
• 网站防篡改-重构版1.4 支持溯源日志查看
  

排查篇

• 网站防篡改重构版失效问题排查
  

一、前言
     当前版本为测试版本，该插件属于事件型防篡改，可实时监控网站目录或文件，并在网站被恶意篡改时，通过备份数据恢复被篡改的文件或目录，防止网站被植入非法信息、网站被挂马等入侵行为，保障网站正常运行。
系统架构兼容：x86-64、arm64
提醒：本产品不能和堡塔企业级防篡改、堡塔企业级防篡改-重构版、网站防篡改程序同时使用，如果之前开启过网站防篡改程序，请手动关闭其总开关，再使用重构版插件。

本贴的测试环境

• centos7 3.10.0-1160.90.1
• python 3.7
  

安装流程
    点击【软件商店】-> 搜索【防篡改】-> 点击安装【网站防篡改程序-重构版】，稍等几秒，等待提示"安装完成"就可以使用。
点击插件，首页概览如下


二、使用流程
核心：开启防护->测试防护效果->配置黑白名单
1. 服务状态开启  
开启防护分为两步

• 首先，点击【防篡改状态】按钮，如图所示，则视为防护服务启动
• 其次，在针对需要防护的网站，将模式切换为【拦截模式】，这样子就可以正常防护了
  

2. 测试防护效果

   模拟黑客进行篡改指定站点信息，并获取权限，本次模拟测试不会影响业务的正常运行，无需担忧。

   现有官方模拟测试：点击【模拟测试】按钮，指定站点即可



后面也有相关手动测试的，验证效果是否存在的，可以直接跳到【手动测试】

3. 黑白名单配置

白名单（排除目录）
       白名单初次安装后，会有一个默认配置，请根据自己需要，进行配置（注意：排除目录优先级>保护列表）
效果：排除目录中的路径，都将会放行，不做拦截处理，可将缓存文件路径加进去

排除文件或者目录的填写格式如下⭐⭐
1、通配符 * 例如: /www/wwwroot/bt.cn/test/*.php            /www/wwwroot/bt.cn/test/目录下所有的php文件都放行，不做拦截
2、完整路径 /www/wwwroot/bt.cn/runtime/                      /www/wwwroot/bt.cn/runtime/目录下所有文件都放行，不做拦截
3、完整文件路径 /www/wwwroot/bt.cn/runtime/bt.php     网站bt.cn的目录runtime下的bt.php不做拦截
4、单路径格式 runtime                                                     代表只要路径中存在runtime就会放行
5、单文件格式 bt.php                                                       代表文件名为bt.php就会放行

说明-通配符支持如下几种格式
1、完整路径/www/wwwroot/bt.cn/test/*                          这个目录下所有的文件都排除
2、完整路径后缀名 /www/wwwroot/bt.cn/test/*.php       这个目录下php都排除
3、相对路径 */logs/*                                                       包含logs目录都会排除

黑名单（保护列表）
       初次安装也有默认配置，目前支持两种方式，一是文件扩展名(如:php)，二是文件名或文件全路径(如/bt.cn/1.txt)

注：通常添加常见容易被篡改的文件扩展名即可，如html,php,js等，暂且不支持添加指定目录

一键应用黑白名单
       如果网站很多的情况下，可以用【一键应用】功能，直接把配置好的黑白名单，同步到其他网站



三、手动测试防护效果环节
创建文件
        面板进行创建文件后，文件会立刻被销毁，接下来再看下日志



文件修改测试
        在面板上，修改一个防护文件后，刷新下文件管理，再次查看，会发现这个文件还原了。


脚本极限测试
测试创建/修改/删除1000次，查看站点是否会被异常篡改
在这里就不做重复了，直接测试下模拟1000次写入文件，最后查看是否防护成功，查看下面效果
防护的记录


四、注意事项

• 若发现防篡改开启后，无防护效果，请先排除页面缓存或者关闭防篡改插件后重试；
• 若开启后，您的网站出现异常，请尝试排除网站日志、缓存、临时文件、上传等目录后重试，或直接关闭网站防篡改功能；
• 若站点极多的情况下，请检查下磁盘空间是否充足
  
  

✔如有任何疑问或者发现任意bug，也可以是想在下版本实现的功能，都可在本贴留言，也可私聊QQ:2876740043

1.3 更新日志
1.【新增】两种文件防护：重命名防护和权限变更防护
2.【新增】新增文件锁定模式
3.【优化】站点开关交互体验
4.【修复】白名单添加异常问题
5.【修复】进程占用导致更新失败

网站防篡改-重构版1.4 更新日志
1.【新增】溯源日志功能
2.【优化】站点防护的实现逻辑
3.【优化】进程服务运行方式和服务日志
4.【修复】部分情况启动服务失败问题

宝塔用户_ksjujl 发表于 2024-5-7 09:31
启动后一段时间，就会自动暂停运行的原因是什么，是要第一版的防篡改嘛 ...

点击【运行日志】，截个图，我看看

A书记阿超 发表于 2024-5-30 14:32
垃圾玩意 一装不是这里报哪里报警    没人解决

初次安装是需要先把缓存文件路径加白的，有些二开的php网站的目录结构比较复杂，需要重新配置白名单的，适配后，就很好使用了，你可以加我qq

Diiamo 发表于 2024-6-16 12:25
/www/wwwroot/xxx.cn/wp-content/uploads/ai-builder/index.html,   提示这个文件被改动· 我想排除/www/ww ...

这个在下版本完善下，预计本周发版本
目前临时解决的话，你可以把其子目录加进去，像这样的
/www/wwwroot/xxx.cn/wp-content/uploads/ai-builder/*.html
/www/wwwroot/xxx.cn/wp-content/uploads/xxxx/*.html

Diiamo 发表于 2024-6-17 23:42
有几十个子目录，而且每个网站不一样。我还是等你们新版本吧· 谢谢

测了下，你直接添加这个路径"/www/wwwroot/xxx.cn/wp-content/uploads/*.html"就可以了,就可以把其所有html文件排除了

AQiang 发表于 2024-7-2 07:30
发现个Bug，关闭单个站点的防护了，还是不能修改文件， 必需要整个关闭这个功能吗？ 因为有的站点文件比较 ...

看下一个网站目录是不是设置了多个子域名，导致重复防护了

六点钟网络 发表于 2024-8-4 12:56
我的一直显示是暂停的啊，已经卸载重装了，面板也点修复了，也还是这样啊

...

已经修复了，你先点击【软件管理】右上角的【更新】，再点击插件右侧【修复】，就可以正常使用了

XYQN 发表于 2024-8-6 11:23
点溯源日志显示“当前日志为空”是为什么？文件里边也没有当天的日志，只有前几天的，重啥的都试了也不行。 ...

       溯源日志目前只从web日志那边读取的并做筛选，如果你是从终端或者面板上的测试，是不会有记录的。
       你说的"文件里边也没有当天的日志，只有前几天的"是指拦截日志吗？如果是拦截日志，你可以手动进行模拟测试，查看下是否有拦截记录

XYQN 发表于 2024-8-6 11:51
没有，模拟的也没有日志。

重启下【防护服务】，然后再测试下模拟测试，如果还是没有的话，加下qq：2876740043

A书记阿超 发表于 2024-8-4 05:31
没篮子用 装了照样篡改. 不加白报警.加白被篡改

安装后，需要先试下是否有在防护，点插件右上角的【模拟测试】，"不加白就告警"这个，你是加了缓存目录吧，这个添加会出现影响正常网站运行的，如果需要防护的目录有缓存目录的话，你嘚搭配【php网站安全告警】这个插件

gaoxueda114 发表于 2024-8-10 12:51
win用不了 一直开启不了

右上角有个【运行日志】截图，发我看看

宝塔用户_xwxttd 发表于 2024-8-15 01:52
系统重装以后插件不能安装了，显示又要重新购买！！如何处理

点击【软件商店】的右上角【更新】，然后在防篡改列表右侧有个【修复】，点一下，看看

唐大 发表于 2024-9-8 16:54
鸟用？WIN版用不了，一直开启不了~~

用powershell终端，执行这条指令看看,截图发下

1. net start tamper_proof_refactored

复制代码