当前位置:论坛首页 > Linux面板 > Linux面板教程

《PHP网站安全告警 》 新功能发布

置顶 精华 发表在 Linux面板2023-3-8 11:19 [复制链接] 17 16089

2023-03-27 2.0更新日志
2023-04-01 3.0更新日志
2023-04-27 3.2 更新日志
2023-08-9 5.0 更新日志
2024-3-1 8.1 更新日志
2024-03-21 8.4更新日志
2024-03-29 8.6更新


一、功能介绍:
网站安全告警:        
基于PHP内核的监控工具,实时监控网站木马、漏洞等其他入侵行为,发现木马支持自动隔离

兼容PHP版本:PHP5.4 PHP5.5 PHP5.6
PHP7.0 PHP7.1 PHP7.2 PHP7.3. PHP7.4
PHP8.0 PHP8.1 PHP8.2 PHP8.3

检测的漏洞如下:
1.任意文件上传漏洞  ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知

二、安装


QQ截图20230308103728.png


三、开启防护
QQ截图20230308104456.png

开启防护条件:
1.需要某个PHP版本开启这个模块
2.需要设置告警通知


3.1 开启php模块

QQ截图20230308104608.png


3.2 开启告警
QQ截图20230308104736.png

3.3 开启防护
QQ截图20230308104822.png

3.4 模拟攻击
QQ截图20230308104959.png


模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可

模拟攻击完成之后。查看手机微信
QQ截图20230308105254.png

所有的通知都会进行发送。


四、首页概览

QQ截图20230308105422.png


五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】


5.1 任意文件上传漏洞

随便在网上找了一个源码:https://www.runoob.com/php/php-file-upload.html

QQ截图20230308105747.png

增加了允许php文件上传
进行测试


QQ截图20230308110049.png


等待一下之后收到告警信息

QQ截图20230308110807.png

然后查看一下详情

QQ截图20230308110833.png


可以在网站页面中进行查看日志

QQ截图20230308111144.png


查看http日志

QQ截图20230308111241.png



5.2 一句话木马。webshell 大马,哥斯拉木马

QQ截图20230309104131.png


上面是一个大马。当这个目录触发到跨目录的行为时候  【这里是需要触发到行为的时候才会检查。如果没有触发行为,行为的话,就是最上面的功能的各种异常行为】

QQ截图20230309104524.png


那么首先会检查是否是木马文件如果是则隔离这个文件

QQ截图20230309104620.png



哥斯拉木马

QQ截图20230309105017.png


连接木马文件
QQ截图20230309105249.png


触发到规则后会自动隔离该文件

QQ截图20230309105350.png

5.3  命令执行告警


QQ截图20230309105538.png

默认所有的命令记录都会告警。

QQ截图20230309105835.png

如果存在误报,请点击误报即可。





六、木马隔离箱



QQ截图20230308111329.png


木马隔离箱存储的都是从各种行为中,检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin



七、白名单

支持URL白名单 IP白名单
QQ截图20230308111621.png



url 暂时不支持参数。


QQ截图20230308111650.png



IP 支持的如下:
192.168.1.1  192.168.1.254
暂时不支持IPV6



八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发,请联系qq 1249648969
3.如果您想添加规则,请联系qq 1249648969



九、现阶段的不足


现阶段对木马的研判还是是需要触发规则,如果不触发恶意行为的规则,则不会触发。
【比如说在当前网站内的修改文件行为,大多数场景下修改当前的网站都是OK的行为,这里可以增加一个规则,例如修改了首页,或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充 【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】

稳定版本预计 4.15 号发出



十、占用性能



wordpress    50QPS

QQ截图20230309111659.png









使用道具 举报 只看该作者 回复
发表于 2023-3-31 08:58:52 | 显示全部楼层
这么好的功能为啥没人评论!!

香港五网CN2服务器:www.tsyvps.com  发表于 2023-4-3 18:47
使用道具 举报 回复 支持 反对
发表于 2023-4-1 20:17:08 | 显示全部楼层
没法开启啊,开启过后重进模板,又显示关闭
使用道具 举报 回复 支持 反对
发表于 2023-4-1 21:52:31 | 显示全部楼层
沫墨 发表于 2023-4-1 20:17
没法开启啊,开启过后重进模板,又显示关闭

有开启系统加固吗?如果有的话。关闭一下试试。还是不行的话。联系一下我的QQ
使用道具 举报 回复 支持 反对
发表于 2023-4-8 10:28:50 | 显示全部楼层
运行木马文件没有报警
使用道具 举报 回复 支持 反对
发表于 2023-4-10 11:14:56 | 显示全部楼层
宝塔用_48c7 发表于 2023-4-8 10:28
运行木马文件没有报警

要触发一些比如读取文件,或者发送dns请求的一些东西。直接访问是不会触发的。
使用道具 举报 回复 支持 反对
发表于 2023-4-13 17:49:19 | 显示全部楼层
这个问题怎么解决呀?
E:Could not resolve: www.test.com (DNS server returned answer with no data)
使用道具 举报 回复 支持 反对
发表于 2023-4-13 20:19:53 | 显示全部楼层
一路相伴 发表于 2023-4-13 17:49
这个问题怎么解决呀?
E:Could not resolve: www.test.com (DNS server returned answer with no data) ...

这个看起来不是这个插件的问题
使用道具 举报 回复 支持 反对
发表于 2023-7-2 13:10:01 | 显示全部楼层
  防篡改后的    底裤防御。防篡改安全插件,应该比这个实用点
使用道具 举报 回复 支持 反对
发表于 2023-9-22 23:10:24 | 显示全部楼层
支持 php 8.2 吗
使用道具 举报 回复 支持 反对
发表于 2024-1-29 02:36:30 | 显示全部楼层
您好,这个和OpenRASP有什么区别吗?
使用道具 举报 回复 支持 反对
发表于 2024-2-17 17:38:37 | 显示全部楼层
CoolAdu 发表于 2024-1-29 02:36
您好,这个和OpenRASP有什么区别吗?

openRASP好像已经不更新了
使用道具 举报 回复 支持 反对
发表于 2024-3-1 10:26:11 | 显示全部楼层

已经支持了PHP8.2 PHP8.3 了
使用道具 举报 回复 支持 反对
发表于 2024-3-1 10:26:56 | 显示全部楼层
CoolAdu 发表于 2024-1-29 02:36
您好,这个和OpenRASP有什么区别吗?

可能更适合宝塔用户。
使用道具 举报 回复 支持 反对
发表于 2024-3-29 17:10:00 | 显示全部楼层
去年9月份买了一年的,应该今年9月才到期,刚刚更新了下面板,就变成提示要购买了
使用道具 举报 回复 支持 反对
12下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理
快速回复 返回顶部 返回列表