SuperScan：網(wǎng)站文件變更監(jiān)控利器

核心功能：

SuperScan 是一款升級(jí)版的腳本，旨在及時(shí)提醒網(wǎng)站管理員其文件發(fā)生的任何更改，包括新增、修改或刪除。其工作原理是掃描指定的目錄，并將當(dāng)前文件的哈希值與數(shù)據(jù)庫中先前掃描存儲(chǔ)的哈希值進(jìn)行比較。

高效且輕量：

SuperScan 工具高效且不會(huì)影響服務(wù)器性能。掃描包含 1500 個(gè)文件的帳戶大約只需 0.75 秒。它允許頻繁掃描而不會(huì)讓網(wǎng)站管理員不堪重負(fù)，只會(huì)報(bào)告自上次掃描以來的更改，并提供每日匯總報(bào)告。

取證支持和安全增強(qiáng)：

SuperScan 還支持取證調(diào)查，它在數(shù)據(jù)庫中存儲(chǔ)文件的最后修改日期和時(shí)間，以及最近掃描的哈希值。它可以在網(wǎng)站空間之外運(yùn)行，以防止休閑黑客入侵，甚至可以通過更改 error_log 文件來提醒網(wǎng)站管理員編碼問題。

作為一名認(rèn)證的道德黑客，我深知預(yù)防是阻止黑客入侵的最佳策略，但是，如果黑客真的突破了防線，那么越早知道，就能越快采取行動(dòng)來限制損失。

之前，我介紹過一個(gè)名為 hashscan 的腳本，用于追蹤網(wǎng)站更改。該腳本通過每日 CRON 執(zhí)行，讀取指定目錄（例如，服務(wù)器上帳戶的 public_html 目錄）中的文件，生成哈希值（對于具有特定文件擴(kuò)展名的文件），并將它們與數(shù)據(jù)庫中先前掃描的哈希值進(jìn)行比較。對于網(wǎng)站所有者來說，這是一個(gè)很好的方法，可以讓他們及時(shí)發(fā)現(xiàn)黑客添加、更改或刪除的文件。

本文將介紹該腳本的更新版本，名為 SuperScan。

SuperScan 的優(yōu)勢：

SuperScan 的主要優(yōu)勢在于它可以報(bào)告帳戶中文件的任何更改，無論文件更改是添加、更改還是刪除。SuperScan 的設(shè)計(jì)初衷是為了避免讓網(wǎng)站管理員不堪重負(fù)。它只提供自上次掃描以來的更改報(bào)告（默認(rèn)值為一小時(shí)，但可以通過 CRON 配置）和匯總報(bào)告（默認(rèn)為每日，但也可以通過 CRON 配置）。

由于掃描包含 1500 個(gè)文件的帳戶大約需要 0.75 秒，因此 SuperScan 可以頻繁運(yùn)行而不會(huì)影響服務(wù)器性能。

為了支持取證調(diào)查，文件最后修改日期和時(shí)間以及最近掃描的哈希值（以及已更改文件的先前掃描）都保存在數(shù)據(jù)庫中。

無需更改掃描程序文件，因?yàn)樗凶兞慷荚谒璧呐渲媚_本中設(shè)置。您可以在配置腳本中選擇要掃描的特定文件擴(kuò)展名（或全部文件擴(kuò)展名），或者如果選擇全部文件擴(kuò)展名，則可以選擇要忽略的文件擴(kuò)展名。此外，您還可以指定掃描程序不會(huì)掃描的目錄。

雖然 SuperScan 文件可以在網(wǎng)站空間內(nèi)進(jìn)行測試，但我建議將其通過 CRON 移到網(wǎng)站空間之外以進(jìn)行生產(chǎn)使用，以防止休閑黑客入侵。

最后，一個(gè)額外的好處是，(無擴(kuò)展名)error_log 文件的更改會(huì)被捕獲，并可以將網(wǎng)站管理員的注意力吸引到測試過程中遺漏的編碼問題上。

SuperScan 邏輯：

SuperScan 的邏輯流程如下：

1. 讀取數(shù)據(jù)庫中文件的基線信息；
2. 掃描系統(tǒng)的文件并計(jì)算它們的哈希值；
3. 將基線文件與當(dāng)前文件進(jìn)行比較，以確定要生成的已更改文件：
   • 新增文件列表；
   • 已更改文件列表；
   • 已刪除文件列表；
4. 處理每個(gè)已更改文件列表（更新數(shù)據(jù)庫）；
5. 準(zhǔn)備并發(fā)送報(bào)告（如果需要）。

數(shù)據(jù)庫、變量和工作數(shù)組：

為了避免在此處贅述細(xì)節(jié)，我在所有腳本中都添加了注釋。

簡而言之，數(shù)據(jù)庫中有三個(gè)表：

• baseline：包含 $file_path、文件的哈希值以及文件的最后修改日期和時(shí)間。我還添加了帳戶，以便多個(gè)帳戶可以使用單個(gè)數(shù)據(jù)庫；
• history：記錄每次檢測到的更改（或沒有更改）以及每次掃描；
• scanned：記錄掃描匯總?cè)掌诤蜁r(shí)間，以及更改數(shù)量和關(guān)聯(lián)帳戶。

警告 #1： 我必須強(qiáng)調(diào)，由 configure.php 設(shè)置的 $testing 變量將觸發(fā)大量的輸出，因此它只能用于測試，而不能在 CRON 作業(yè)期間使用！

警告 #2： 由于 path/to/file 用作鍵，因此它必須是唯一的。這意味著多個(gè)帳戶永遠(yuǎn)不能掃描相同的文件。

警告 #3： 此外，Windows 服務(wù)器將使用反斜杠，這些反斜杠會(huì)立即更改為斜杠，因?yàn)樗鼈儠?huì)導(dǎo)致數(shù)據(jù)庫中字符丟失。此外，在文件名中使用撇號(hào)將導(dǎo)致數(shù)據(jù)庫查詢出現(xiàn)問題。

工作數(shù)組旨在利用 PHP 的函數(shù)，這些函數(shù)訪問鍵（$file_path；這也是文件結(jié)構(gòu)迭代器，因此永遠(yuǎn)不要更改 $iter->key()）。

$baseline 在開始掃描之前讀取，$current 是掃描的結(jié)果，$added、$altered 和 $deleted 數(shù)組累積來自 $baseline 的更改，并用于更新下一次掃描的 $baseline。

文件：

superscan.zip 文件包含 7 個(gè)文件：

• CreateTables.sql，可用于設(shè)置表；
• ReadMe.txt，提供了 SuperScan 腳本的概述；
• scanner.php，掃描腳本，需要 configure.php 和 scandb.php（連接到您的 MySQL 服務(wù)器并返回 $scandb 句柄）；
• reporter.php，將通過 CRON 提供最近掃描的摘要；
• CRON.txt，提供了 scanner.php 和 reporter.php 的示例 CRON 指令。

清理：

在檢測到文件更改時(shí)創(chuàng)建 $report，并在不是“負(fù)面報(bào)告”時(shí)存儲(chǔ)和發(fā)送電子郵件。匯總報(bào)告用于在您沒有收到更改報(bào)告時(shí)獲得“溫暖、模糊的感覺”。

在清理過程中，會(huì)自動(dòng)清除歷史記錄和掃描表中超過 30 天的記錄，以防止數(shù)據(jù)庫無限增長，大型數(shù)組被銷毀（重置為空），數(shù)據(jù)庫被關(guān)閉。

總結(jié)：

我相信 SuperScan 比我之前的努力有了巨大的改進(jìn)，是一個(gè)值得升級(jí)的工具。它可以頻繁地通知已更改的文件，而“負(fù)面報(bào)告”不會(huì)因不必要的“未更改”通知而讓網(wǎng)站管理員不堪重負(fù)。

從 GitHub 下載 SuperScan 代碼

致謝：

SuperScan 由 Han Wechgelaer (NL) 建議，他通過電子郵件建議將我之前的 hashscan 腳本擴(kuò)展為捕獲帳戶文件更改的歷史記錄，以及進(jìn)行更頻繁的評估并添加每日摘要。

Han 非?？犊靥峁┝怂谶@個(gè)項(xiàng)目上的啟動(dòng)副本，在我們之間，這演變成了 SuperScan。如果沒有 Han 的溫和督促和幫助，SuperScan 就永遠(yuǎn)不會(huì)啟動(dòng)，當(dāng)然也不會(huì)成為今天這個(gè)優(yōu)秀的工具。

我很想知道您如何看待這個(gè)腳本，或者如果您有任何問題或反饋。

關(guān)于通過 Cron.php SuperScan 檢測被黑客入侵的文件的常見問題解答：

什么是 Cron.php SuperScan，它是如何工作的？

Cron.php SuperScan 是一款功能強(qiáng)大的工具，旨在檢測和識(shí)別系統(tǒng)中被黑客入侵的文件。它的工作原理是定期（通常由用戶設(shè)置）掃描系統(tǒng)文件，并在檢測到任何可疑或修改的文件時(shí)發(fā)出警報(bào)。此工具對于需要維護(hù)系統(tǒng)安全性和完整性的網(wǎng)站管理員和系統(tǒng)管理員特別有用。

我如何在系統(tǒng)上設(shè)置 Cron.php SuperScan？

設(shè)置 Cron.php SuperScan 涉及將腳本上傳到您的服務(wù)器并將其配置為定期運(yùn)行。這可以通過服務(wù)器的控制面板或通過命令行來完成。設(shè)置完成后，腳本將自動(dòng)掃描您的系統(tǒng)文件并提醒您任何潛在的威脅。

Cron.php SuperScan 可以檢測哪些類型的文件？

Cron.php SuperScan 能夠檢測與黑客攻擊通常相關(guān)的各種文件類型。這包括 PHP 文件、HTML 文件、JavaScript 文件等等。它還可以檢測隱藏文件和目錄，這些文件和目錄可能被黑客用來未經(jīng)授權(quán)訪問您的系統(tǒng)。

Cron.php SuperScan 與其他文件掃描工具相比如何？

與其他文件掃描工具相比，Cron.php SuperScan 提供了一種更全面和自動(dòng)化的解決方案。雖然其他工具可能需要手動(dòng)掃描和分析，但 Cron.php SuperScan 自動(dòng)化了該過程，從而節(jié)省了您的時(shí)間和精力。它還提供其結(jié)果的詳細(xì)報(bào)告，使您可以更容易地識(shí)別和解決潛在的威脅。

Cron.php SuperScan 可以防止黑客攻擊嗎？

雖然 Cron.php SuperScan 是檢測被黑客入侵文件的有效工具，但它并不能防止黑客攻擊。它的主要功能是提醒您潛在的威脅，以便您可以采取適當(dāng)?shù)拇胧?。但是，定期使用此工具可以幫助您維護(hù)系統(tǒng)的安全并降低成功黑客攻擊的風(fēng)險(xiǎn)。

我應(yīng)該多久運(yùn)行一次 Cron.php SuperScan？

掃描頻率取決于您的特定需求和系統(tǒng)所需的安全性級(jí)別。但是，通常建議每天至少運(yùn)行一次 Cron.php SuperScan 以獲得最佳安全性。

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，我該怎么辦？

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，則必須立即采取行動(dòng)。這可能包括刪除文件、從干凈的備份中恢復(fù)文件或聯(lián)系網(wǎng)絡(luò)安全專業(yè)人員以尋求進(jìn)一步幫助。

我可以自定義 Cron.php SuperScan 的設(shè)置嗎？

是的，Cron.php SuperScan 允許您自定義其設(shè)置以滿足您的特定需求。這包括設(shè)置掃描頻率、指定要掃描的文件類型以及配置警報(bào)通知。

Cron.php SuperScan 適用于所有系統(tǒng)嗎？

Cron.php SuperScan 旨在與大多數(shù)支持 PHP 的系統(tǒng)一起工作。但是，它可能與并非所有系統(tǒng)兼容，因此建議在安裝之前檢查系統(tǒng)要求。

Cron.php SuperScan 是否免費(fèi)使用？

Cron.php SuperScan 是一款付費(fèi)工具，這意味著它需要付費(fèi)使用。但是，考慮到它提供的安全級(jí)別以及成功黑客攻擊的潛在成本，對于大多數(shù)企業(yè)和個(gè)人來說，這是一項(xiàng)值得的投資。

以上是快速通過cron/php檢測到被黑的文件：superscan的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！