Быстрое обнаружение взломанных файлов с помощью CRON / PHP: SuperScan

Как сертифицированный этический хакер, я полностью осознаю, что профилактика — лучшая тактика предотвращения хакеров, но, если кто-то прорвется, чем раньше вы это узнаете, тем быстрее вы сможете действовать, чтобы ограничить ущерб.

Некоторое время назад я представил скрипт под названием hashscan , предназначенный для отслеживания изменений на сайте. Выполненный через ежедневный CRON, скрипт считывает файлы для указанного каталога (например, каталога public_html учетной записи на сервере), генерирует хэши (для файлов с определенными расширениями файлов) и сравнивает их с хешами предыдущего сканирования, хранящимися в базе данных. , Это отличный способ для владельцев сайтов получать уведомления о файлах, которые были добавлены, изменены или удалены хакером.

В этой статье я представлю обновленную версию скрипта, которая называется SuperScan .

Преимущества SuperScan

Основное преимущество заключается в том, что SuperScan будет сообщать о любых изменениях файлов в учетной записи, независимо от того, является ли изменение файла добавлением, изменением или удалением. SuperScan был разработан, чтобы не перегружать веб-мастера. Он предоставляет только отчет об изменениях с момента последнего сканирования (по умолчанию один час, но его можно настроить через CRON) и сводный отчет (по умолчанию ежедневно, хотя, опять же, его можно настроить через CRON).

Поскольку проверка учетной записи 1500 файлов занимает ~ 0,75 секунды, SuperScan можно часто запускать, не влияя на производительность сервера.

Для поддержки судебно-медицинской экспертизы дата и время последнего изменения файла хранятся в базе данных вместе с хэш-значением самого последнего сканирования (и предварительного сканирования измененных файлов).

Файл сканера не нужно изменять, так как все переменные задаются в необходимом скрипте configure. Он находится в скрипте конфигурации, где вы можете выбрать определенные (или ВСЕ) расширения файлов для сканирования или, если ВСЕ, расширения файлов, которые нужно пропустить. Кроме того, вы можете указать каталоги, которые сканер не будет сканировать.

Хотя файлы SuperScan можно тестировать в веб-пространстве, я рекомендую переместить их за пределы веб-пространства для производственного использования через CRON для защиты от случайных хакеров.

Наконец, любопытным дополнительным преимуществом является то, что изменения в (errorless) файлах error_log регистрируются и могут направить внимание веб-мастера на проблемы с кодированием, которые возникли в ходе процедур тестирования.

SuperScan Logic

Логический поток SuperScan:

• Прочитайте базовую информацию о файлах в базе данных
• Сканирование файлов системы и вычисление их хэшей
• Сравните базовые файлы с текущими файлами, чтобы определить измененные файлы для генерации:
  • Список добавленных файлов
  • Список измененных файлов и
  • Список удаленных файлов
• Обработка каждого из измененных списков файлов (обновление базы данных)
• Подготовьте и отправьте отчет (при необходимости).

База данных, переменные и рабочие массивы

Вместо того, чтобы утомлять вас подробностями, я вставил комментарии во все сценарии.

Таким образом, вкратце, существует три таблицы базы данных:

• baseline : содержит $file_path , хеш файла и дату и время последнего изменения файла. Я также добавил учетную запись, чтобы несколько учетных записей могли использовать одну базу данных)
• история : регистрирует каждое обнаруженное изменение — или его отсутствие — в каждом сканировании.
• отсканировано : эта запись сканирует итоговую дату и время, а также количество изменений и связанной учетной записи.

Предупреждение № 1 :
Я не могу не подчеркнуть, что переменная $testing установленная с помощью configure.php , вызовет огромное количество выходных данных, поэтому она должна использоваться только для тестирования, а не во время задания CRON!