《PHP网站安全告警 》 新功能发布

2023-03-27 2.0更新日志
2023-04-01 3.0更新日志
2023-04-27 3.2 更新日志



一、功能介绍：
网站安全告警：        
基于PHP内核的监控工具，实时监控网站木马、漏洞等其他入侵行为，发现木马支持自动隔离
检测的漏洞如下：
1.任意文件上传漏洞  ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知

二、安装





三、开启防护


开启防护条件：
1.需要某个PHP版本开启这个模块
2.需要设置告警通知


3.1 开启php模块




3.2 开启告警


3.3 开启防护


3.4 模拟攻击



模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可

模拟攻击完成之后。查看手机微信


所有的通知都会进行发送。


四、首页概览




五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】


5.1 任意文件上传漏洞

随便在网上找了一个源码：https://www.runoob.com/php/php-file-upload.html



增加了允许php文件上传
进行测试





等待一下之后收到告警信息



然后查看一下详情




可以在网站页面中进行查看日志




查看http日志





5.2 一句话木马。webshell 大马，哥斯拉木马




上面是一个大马。当这个目录触发到跨目录的行为时候  【这里是需要触发到行为的时候才会检查。如果没有触发行为，行为的话，就是最上面的功能的各种异常行为】




那么首先会检查是否是木马文件如果是则隔离这个文件





哥斯拉木马




连接木马文件



触发到规则后会自动隔离该文件



5.3  命令执行告警




默认所有的命令记录都会告警。



如果存在误报，请点击误报即可。





六、木马隔离箱






木马隔离箱存储的都是从各种行为中，检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin



七、白名单

支持URL白名单 IP白名单




url 暂时不支持参数。






IP 支持的如下：
192.168.1.1  192.168.1.254
暂时不支持IPV6



八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发，请联系qq 1249648969
3.如果您想添加规则，请联系qq 1249648969



九、现阶段的不足


现阶段对木马的研判还是是需要触发规则，如果不触发恶意行为的规则，则不会触发。
【比如说在当前网站内的修改文件行为，大多数场景下修改当前的网站都是OK的行为，这里可以增加一个规则，例如修改了首页，或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充 【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】

稳定版本预计 4.15 号发出



十、占用性能



wordpress    50QPS

这么好的功能为啥没人评论！！

没法开启啊，开启过后重进模板，又显示关闭

沫墨 发表于 2023-4-1 20:17
没法开启啊，开启过后重进模板，又显示关闭

有开启系统加固吗？如果有的话。关闭一下试试。还是不行的话。联系一下我的QQ

运行木马文件没有报警

宝塔用_48c7 发表于 2023-4-8 10:28
运行木马文件没有报警

要触发一些比如读取文件，或者发送dns请求的一些东西。直接访问是不会触发的。

这个问题怎么解决呀？
E:Could not resolve: www.test.com (DNS server returned answer with no data)

一路相伴 发表于 2023-4-13 17:49
这个问题怎么解决呀？
E:Could not resolve: www.test.com (DNS server returned answer with no data) ...

这个看起来不是这个插件的问题