|
一、功能介绍:
网站安全告警:
基于PHP内核的监控工具,实时监控网站木马、漏洞等其他入侵行为,发现木马支持自动隔离
检测的漏洞如下:
1.任意文件上传漏洞 ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知
二、安装
三、开启防护
开启防护条件:
1.需要某个PHP版本开启这个模块
2.需要设置告警通知
3.1 开启php模块
3.2 开启告警
3.3 开启防护
3.4 模拟攻击
模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可
模拟攻击完成之后。查看手机微信
所有的通知都会进行发送。
四、首页概览
五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】
5.1 任意文件上传漏洞
随便在网上找了一个源码:https://www.runoob.com/php/php-file-upload.html
增加了允许php文件上传
进行测试
等待一下之后收到告警信息
然后查看一下详情
可以在网站页面中进行查看日志
查看http日志
5.2 一句话木马。webshell 大马,哥斯拉木马
上面是一个大马。当这个目录触发到跨目录的行为时候 【这里是需要触发到行为的时候才会检查。如果没有触发行为,行为的话,就是最上面的功能的各种异常行为】
那么首先会检查是否是木马文件如果是则隔离这个文件
哥斯拉木马
连接木马文件
触发到规则后会自动隔离该文件
5.3 命令执行告警
默认所有的命令记录都会告警。
如果存在误报,请点击误报即可。
六、木马隔离箱
木马隔离箱存储的都是从各种行为中,检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin
七、白名单
支持URL白名单 IP白名单
url 暂时不支持参数。
IP 支持的如下:
192.168.1.1 192.168.1.254
暂时不支持IPV6
八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发,请联系qq 1249648969
3.如果您想添加规则,请联系qq 1249648969
九、现阶段的不足
现阶段对木马的研判还是是需要触发规则,如果不触发恶意行为的规则,则不会触发。
【比如说在当前网站内的修改文件行为,大多数场景下修改当前的网站都是OK的行为,这里可以增加一个规则,例如修改了首页,或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充 【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】
稳定版本预计 4.15 号发出
十、占用性能
wordpress 50QPS