限时特惠!第6届堡塔724运维节特惠活动,企业版999元/年,价格保护365天!查看活动
当前位置:论坛首页 > Linux面板 > Linux面板教程

《PHP网站安全告警 》 新功能发布

置顶 精华 发表在 Linux面板2023-3-8 11:19 [复制链接] 2 21779

2023-03-27 2.0更新日志
2023-04-01 3.0更新日志
2023-04-27 3.2 更新日志
2023-08-9 5.0 更新日志
2024-3-1 8.1 更新日志
2024-03-21 8.4更新日志
2024-03-29 8.6更新
2024-05-10 8.8更新


一、功能介绍:
网站安全告警:        
基于PHP内核的监控工具,实时监控网站木马、漏洞等其他入侵行为,发现木马支持自动隔离

兼容PHP版本:PHP5.4 PHP5.5 PHP5.6
PHP7.0 PHP7.1 PHP7.2 PHP7.3. PHP7.4
PHP8.0 PHP8.1 PHP8.2 PHP8.3

检测的漏洞如下:
1.任意文件上传漏洞  ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知

二、安装


QQ截图20230308103728.png


三、开启防护
QQ截图20230308104456.png

开启防护条件:
1.需要某个PHP版本开启这个模块
2.需要设置告警通知


3.1 开启php模块

QQ截图20230308104608.png


3.2 开启告警
QQ截图20230308104736.png

3.3 开启防护
QQ截图20230308104822.png

3.4 模拟攻击
QQ截图20230308104959.png


模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可

模拟攻击完成之后。查看手机微信
QQ截图20230308105254.png

所有的通知都会进行发送。


四、首页概览

QQ截图20230308105422.png


五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】


5.1 任意文件上传漏洞

随便在网上找了一个源码:https://www.runoob.com/php/php-file-upload.html

QQ截图20230308105747.png

增加了允许php文件上传
进行测试


QQ截图20230308110049.png


等待一下之后收到告警信息

QQ截图20230308110807.png

然后查看一下详情

QQ截图20230308110833.png


可以在网站页面中进行查看日志

QQ截图20230308111144.png


查看http日志

QQ截图20230308111241.png



5.2 一句话木马。webshell 大马,哥斯拉木马

QQ截图20230309104131.png


上面是一个大马。当这个目录触发到跨目录的行为时候  【这里是需要触发到行为的时候才会检查。如果没有触发行为,行为的话,就是最上面的功能的各种异常行为】

QQ截图20230309104524.png


那么首先会检查是否是木马文件如果是则隔离这个文件

QQ截图20230309104620.png



哥斯拉木马

QQ截图20230309105017.png


连接木马文件
QQ截图20230309105249.png


触发到规则后会自动隔离该文件

QQ截图20230309105350.png

5.3  命令执行告警


QQ截图20230309105538.png

默认所有的命令记录都会告警。

QQ截图20230309105835.png

如果存在误报,请点击误报即可。





六、木马隔离箱



QQ截图20230308111329.png


木马隔离箱存储的都是从各种行为中,检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin



七、白名单

支持URL白名单 IP白名单
QQ截图20230308111621.png



url 暂时不支持参数。


QQ截图20230308111650.png



IP 支持的如下:
192.168.1.1  192.168.1.254
暂时不支持IPV6



八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发,请联系qq 1249648969
3.如果您想添加规则,请联系qq 1249648969



九、现阶段的不足


现阶段对木马的研判还是是需要触发规则,如果不触发恶意行为的规则,则不会触发。
【比如说在当前网站内的修改文件行为,大多数场景下修改当前的网站都是OK的行为,这里可以增加一个规则,例如修改了首页,或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充 【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】

稳定版本预计 4.15 号发出



十、占用性能



wordpress    50QPS

QQ截图20230309111659.png











使用道具 举报 只看该作者 回复
发表于 昨天 18:23 | 显示全部楼层
需要反馈和提出你的建议可以加群
微信图片_20240713094220.jpg
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表