《PHP网站安全告警》新功能发布

2023-03-27 2.0更新日志
2023-04-01 3.0更新日志
2023-04-27 3.2 更新日志
2023-08-9 5.0 更新日志
2024-3-1 8.1 更新日志
2024-03-21 8.4更新日志
2024-03-29 8.6更新

一、功能介绍：
网站安全告警：
基于PHP内核的监控工具，实时监控网站木马、漏洞等其他入侵行为，发现木马支持自动隔离

兼容PHP版本：PHP5.4 PHP5.5 PHP5.6
PHP7.0 PHP7.1 PHP7.2 PHP7.3. PHP7.4
PHP8.0 PHP8.1 PHP8.2 PHP8.3

检测的漏洞如下：
1.任意文件上传漏洞 ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知

二、安装

QQ截图20230308103728.png

三、开启防护

开启防护条件：
1.需要某个PHP版本开启这个模块
2.需要设置告警通知

3.1 开启php模块

QQ截图20230308104608.png

3.2 开启告警

3.3 开启防护

3.4 模拟攻击

模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可

模拟攻击完成之后。查看手机微信
QQ截图20230308105254.png

所有的通知都会进行发送。

四、首页概览

QQ截图20230308105422.png

五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】

5.1 任意文件上传漏洞

随便在网上找了一个源码：https://www.runoob.com/php/php-file-upload.html

QQ截图20230308105747.png

增加了允许php文件上传
进行测试

QQ截图20230308110049.png

等待一下之后收到告警信息

QQ截图20230308110807.png

然后查看一下详情

可以在网站页面中进行查看日志

QQ截图20230308111144.png

查看http日志

5.2 一句话木马。webshell 大马，哥斯拉木马

QQ截图20230309104131.png

上面是一个大马。当这个目录触发到跨目录的行为时候【这里是需要触发到行为的时候才会检查。如果没有触发行为，行为的话，就是最上面的功能的各种异常行为】

QQ截图20230309104524.png

那么首先会检查是否是木马文件如果是则隔离这个文件

QQ截图20230309104620.png

哥斯拉木马

连接木马文件

触发到规则后会自动隔离该文件

QQ截图20230309105350.png

5.3 命令执行告警

QQ截图20230309105538.png

默认所有的命令记录都会告警。

QQ截图20230309105835.png

如果存在误报，请点击误报即可。

六、木马隔离箱

QQ截图20230308111329.png

木马隔离箱存储的都是从各种行为中，检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin

七、白名单

支持URL白名单 IP白名单
QQ截图20230308111621.png

url 暂时不支持参数。

QQ截图20230308111650.png

IP 支持的如下：
192.168.1.1 192.168.1.254
暂时不支持IPV6

八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发，请联系qq 1249648969
3.如果您想添加规则，请联系qq 1249648969

九、现阶段的不足

现阶段对木马的研判还是是需要触发规则，如果不触发恶意行为的规则，则不会触发。
【比如说在当前网站内的修改文件行为，大多数场景下修改当前的网站都是OK的行为，这里可以增加一个规则，例如修改了首页，或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】

稳定版本预计 4.15 号发出

十、占用性能

wordpress 50QPS

QQ截图20230309111659.png

宝塔技术-小强 · 发表于 2023-4-1 21:52:31

沫墨发表于 2023-4-1 20:17
没法开启啊，开启过后重进模板，又显示关闭

有开启系统加固吗？如果有的话。关闭一下试试。还是不行的话。联系一下我的QQ

宝塔技术-小强 · 发表于 2023-4-10 11:14:56

宝塔用_48c7 发表于 2023-4-8 10:28
运行木马文件没有报警

要触发一些比如读取文件，或者发送dns请求的一些东西。直接访问是不会触发的。

宝塔技术-小强 · 发表于 2023-4-13 20:19:53

一路相伴发表于 2023-4-13 17:49
这个问题怎么解决呀？
E:Could not resolve: www.test.com (DNS server returned answer with no data) ...

这个看起来不是这个插件的问题

宝塔技术-小强 · 发表于 2024-3-1 10:26:11

v2boy 发表于 2023-9-22 23:10
支持 php 8.2 吗

已经支持了PHP8.2 PHP8.3 了

宝塔技术-小强 · 发表于 2024-3-1 10:26:56

CoolAdu 发表于 2024-1-29 02:36
您好，这个和OpenRASP有什么区别吗？

可能更适合宝塔用户。

宝塔技术-小强 · 发表于 2024-3-30 09:33:33

xdrainbow 发表于 2024-3-29 17:14
去年9月9日买了一年的，应该今年9月才到期，刚刚更新了下面板，就变成提示要购买了,请看支付记录，订单号是 ...

你加一下我的qq

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M

《PHP网站安全告警 》 新功能发布

《PHP网站安全告警》新功能发布