《PHP网站安全告警 》 新功能发布

一、功能介绍:
网站安全告警:
基于PHP内核的监控工具,实时监控网站木马、漏洞等其他入侵行为,发现木马支持自动隔离
检测的漏洞如下:
1.任意文件上传漏洞  ,自动隔离上传文件
2.任意文件读取漏洞
3.跨目录读取、删除、写入
4.ssrf 漏洞
5.dnslog 探测
6.重命名为php文件
7.远程写入php文件
8.木马扫描
9.命令执行
10.告警通知

二、安装


图片[1]-《PHP网站安全告警 》 新功能发布-连界网络

三、开启防护
图片[2]-《PHP网站安全告警 》 新功能发布-连界网络

开启防护条件:
1.需要某个PHP版本开启这个模块
2.需要设置告警通知

3.1 开启php模块

图片[3]-《PHP网站安全告警 》 新功能发布-连界网络

3.2 开启告警
图片[4]-《PHP网站安全告警 》 新功能发布-连界网络

3.3 开启防护
图片[5]-《PHP网站安全告警 》 新功能发布-连界网络

3.4 模拟攻击
图片[6]-《PHP网站安全告警 》 新功能发布-连界网络

模拟的时间比较长。大概为1分钟左右。如选择了手动模拟。需要修改php 的版本号即可

模拟攻击完成之后。查看手机微信
图片[7]-《PHP网站安全告警 》 新功能发布-连界网络

所有的通知都会进行发送。

四、首页概览

图片[8]-《PHP网站安全告警 》 新功能发布-连界网络

五、行为漏洞测试【监控为发生后的事件,告警效率为分钟级】

5.1 任意文件上传漏洞

随便在网上找了一个源码:https://www.runoob.com/php/php-file-upload.html

图片[9]-《PHP网站安全告警 》 新功能发布-连界网络

增加了允许php文件上传
进行测试

图片[10]-《PHP网站安全告警 》 新功能发布-连界网络

等待一下之后收到告警信息

图片[11]-《PHP网站安全告警 》 新功能发布-连界网络

然后查看一下详情

图片[12]-《PHP网站安全告警 》 新功能发布-连界网络

可以在网站页面中进行查看日志

图片[13]-《PHP网站安全告警 》 新功能发布-连界网络

查看http日志

图片[14]-《PHP网站安全告警 》 新功能发布-连界网络

5.2 一句话木马。webshell 大马,哥斯拉木马

图片[15]-《PHP网站安全告警 》 新功能发布-连界网络

上面是一个大马。当这个目录触发到跨目录的行为时候  【这里是需要触发到行为的时候才会检查。如果没有触发行为,行为的话,就是最上面的功能的各种异常行为】

图片[16]-《PHP网站安全告警 》 新功能发布-连界网络

那么首先会检查是否是木马文件如果是则隔离这个文件

图片[17]-《PHP网站安全告警 》 新功能发布-连界网络

哥斯拉木马

图片[18]-《PHP网站安全告警 》 新功能发布-连界网络

连接木马文件
图片[19]-《PHP网站安全告警 》 新功能发布-连界网络

触发到规则后会自动隔离该文件

图片[20]-《PHP网站安全告警 》 新功能发布-连界网络

5.3  命令执行告警

图片[21]-《PHP网站安全告警 》 新功能发布-连界网络

默认所有的命令记录都会告警。

图片[22]-《PHP网站安全告警 》 新功能发布-连界网络

如果存在误报,请点击误报即可。

六、木马隔离箱



图片[23]-《PHP网站安全告警 》 新功能发布-连界网络

木马隔离箱存储的都是从各种行为中,检测出的异常文件。进行一个隔离。
隔离的目录为 /www/server/panel/plugin/security_notice/Recycle_bin

七、白名单

支持URL白名单 IP白名单
图片[24]-《PHP网站安全告警 》 新功能发布-连界网络

url 暂时不支持参数。

图片[25]-《PHP网站安全告警 》 新功能发布-连界网络

IP 支持的如下:
192.168.1.1  192.168.1.254
暂时不支持IPV6

八、错误汇总
1. 如果您测试中发现没有测试成功触发。可以重启一下你所属网站的PHP版本。
2. 如果您测试发现当前规则没有触发,请联系qq 1249648969
3.如果您想添加规则,请联系qq 1249648969

九、现阶段的不足


现阶段对木马的研判还是是需要触发规则,如果不触发恶意行为的规则,则不会触发。
【比如说在当前网站内的修改文件行为,大多数场景下修改当前的网站都是OK的行为,这里可以增加一个规则,例如修改了首页,或者修改了某个目录就立马告警】
还有是对木马的绕过命令执行的规则暂时没有补充。这个需下个版本进行补充 【这里是因为php7 版本某些是存在命令执行绕过的。后续会加强这块的规则】

稳定版本预计 4.15 号发出

十、占用性能

wordpress    50QPS

图片[26]-《PHP网站安全告警 》 新功能发布-连界网络

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享