快速通過cron/php檢測到被黑的文件：superscan

SuperScan：網站文件變更監控利器

核心功能：

SuperScan 是一款升級版的腳本，旨在及時提醒網站管理員其文件發生的任何更改，包括新增、修改或刪除。其工作原理是掃描指定的目錄，並將當前文件的哈希值與數據庫中先前掃描存儲的哈希值進行比較。

高效且輕量：

SuperScan 工具高效且不會影響服務器性能。掃描包含 1500 個文件的帳戶大約只需 0.75 秒。它允許頻繁掃描而不會讓網站管理員不堪重負，只會報告自上次掃描以來的更改，並提供每日匯總報告。

取證支持和安全增強：

SuperScan 還支持取證調查，它在數據庫中存儲文件的最後修改日期和時間，以及最近掃描的哈希值。它可以在網站空間之外運行，以防止休閒黑客入侵，甚至可以通過更改 error_log 文件來提醒網站管理員編碼問題。

作為一名認證的道德黑客，我深知預防是阻止黑客入侵的最佳策略，但是，如果黑客真的突破了防線，那麼越早知道，就能越快採取行動來限制損失。

之前，我介紹過一個名為 hashscan 的腳本，用於追踪網站更改。該腳本通過每日CRON 執行，讀取指定目錄（例如，服務器上帳戶的public_html 目錄）中的文件，生成哈希值（對於具有特定文件擴展名的文件），並將它們與數據庫中先前掃描的哈希值進行比較。對於網站所有者來說，這是一個很好的方法，可以讓他們及時發現黑客添加、更改或刪除的文件。

本文將介紹該腳本的更新版本，名為 SuperScan。

SuperScan 的優勢：

SuperScan 的主要優勢在於它可以報告帳戶中文件的任何更改，無論文件更改是添加、更改還是刪除。 SuperScan 的設計初衷是為了避免讓網站管理員不堪重負。它只提供自上次掃描以來的更改報告（默認值為一小時，但可以通過 CRON 配置）和匯總報告（默認為每日，但也可以通過 CRON 配置）。

由於掃描包含 1500 個文件的帳戶大約需要 0.75 秒，因此 SuperScan 可以頻繁運行而不會影響服務器性能。

為了支持取證調查，文件最後修改日期和時間以及最近掃描的哈希值（以及已更改文件的先前掃描）都保存在數據庫中。

無需更改掃描程序文件，因為所有變量都在所需的配置腳本中設置。您可以在配置腳本中選擇要掃描的特定文件擴展名（或全部文件擴展名），或者如果選擇全部文件擴展名，則可以選擇要忽略的文件擴展名。此外，您還可以指定掃描程序不會掃描的目錄。

雖然 SuperScan 文件可以在網站空間內進行測試，但我建議將其通過 CRON 移到網站空間之外以進行生產使用，以防止休閒黑客入侵。

最後，一個額外的好處是，(無擴展名)error_log 文件的更改會被捕獲，並可以將網站管理員的注意力吸引到測試過程中遺漏的編碼問題上。

SuperScan 邏輯：

SuperScan 的邏輯流程如下：

1. 讀取數據庫中文件的基線信息；
2. 掃描系統的文件併計算它們的哈希值；
3. 將基線文件與當前文件進行比較，以確定要生成的已更改文件：
   • 新增文件列表；
   • 已更改文件列表；
   • 已刪除文件列表；
4. 處理每個已更改文件列表（更新數據庫）；
5. 準備並發送報告（如果需要）。

數據庫、變量和工作數組：

為了避免在此處贅述細節，我在所有腳本中都添加了註釋。

簡而言之，數據庫中有三個表：

• baseline：包含 $file_path、文件的哈希值以及文件的最後修改日期和時間。我還添加了帳戶，以便多個帳戶可以使用單個數據庫；
• history：記錄每次檢測到的更改（或沒有更改）以及每次掃描；
• scanned：記錄掃描匯總日期和時間，以及更改數量和關聯帳戶。

警告 #1： 我必須強調，由 configure.php 設置的 $testing 變量將觸發大量的輸出，因此它只能用於測試，而不能在 CRON 作業期間使用！

警告 #2： 由於 path/to/file 用作鍵，因此它必須是唯一的。這意味著多個帳戶永遠不能掃描相同的文件。

警告 #3： 此外，Windows 服務器將使用反斜杠，這些反斜杠會立即更改為斜杠，因為它們會導致數據庫中字符丟失。此外，在文件名中使用撇號將導致數據庫查詢出現問題。

工作數組旨在利用 PHP 的函數，這些函數訪問鍵（$file_path；這也是文件結構迭代器，因此永遠不要更改 $iter->key()）。

$baseline 在開始掃描之前讀取，$current 是掃描的結果，$added、$altered 和 $deleted 數組累積來自 $baseline 的更改，並用於更新下一次掃描的 $baseline。

文件：

superscan.zip 文件包含 7 個文件：

• CreateTables.sql，可用於設置表；
• ReadMe.txt，提供了 SuperScan 腳本的概述；
• scanner.php，掃描腳本，需要 configure.php 和 scandb.php（連接到您的 MySQL 服務器並返回 $scandb 句柄）；
• reporter.php，將通過 CRON 提供最近掃描的摘要；
• CRON.txt，提供了 scanner.php 和 reporter.php 的示例 CRON 指令。

清理：

在檢測到文件更改時創建 $report，並在不是“負面報告”時存儲和發送電子郵件。匯總報告用於在您沒有收到更改報告時獲得“溫暖、模糊的感覺”。

在清理過程中，會自動清除歷史記錄和掃描表中超過 30 天的記錄，以防止數據庫無限增長，大型數組被銷毀（重置為空），數據庫被關閉。

總結：

我相信 SuperScan 比我之前的努力有了巨大的改進，是一個值得升級的工具。它可以頻繁地通知已更改的文件，而“負面報告”不會因不必要的“未更改”通知而讓網站管理員不堪重負。

從 GitHub 下載 SuperScan 代碼

致謝：

SuperScan 由 Han Wechgelaer (NL) 建議，他通過電子郵件建議將我之前的 hashscan 腳本擴展為捕獲帳戶文件更改的歷史記錄，以及進行更頻繁的評估並添加每日摘要。

Han 非常慷慨地提供了他在這個項目上的啟動副本，在我們之間，這演變成了 SuperScan。如果沒有 Han 的溫和督促和幫助，SuperScan 就永遠不會啟動，當然也不會成為今天這個優秀的工具。

我很想知道您如何看待這個腳本，或者如果您有任何問題或反饋。

關於通過 Cron.php SuperScan 檢測被黑客入侵的文件的常見問題解答：

什麼是 Cron.php SuperScan，它是如何工作的？

Cron.php SuperScan 是一款功能強大的工具，旨在檢測和識別系統中被黑客入侵的文件。它的工作原理是定期（通常由用戶設置）掃描系統文件，並在檢測到任何可疑或修改的文件時發出警報。此工具對於需要維護系統安全性和完整性的網站管理員和系統管理員特別有用。

我如何在系統上設置 Cron.php SuperScan？

設置 Cron.php SuperScan 涉及將腳本上傳到您的服務器並將其配置為定期運行。這可以通過服務器的控制面板或通過命令行來完成。設置完成後，腳本將自動掃描您的系統文件並提醒您任何潛在的威脅。

Cron.php SuperScan 可以檢測哪些類型的文件？

Cron.php SuperScan 能夠檢測與黑客攻擊通常相關的各種文件類型。這包括 PHP 文件、HTML 文件、JavaScript 文件等等。它還可以檢測隱藏文件和目錄，這些文件和目錄可能被黑客用來未經授權訪問您的系統。

Cron.php SuperScan 與其他文件掃描工具相比如何？

與其他文件掃描工具相比，Cron.php SuperScan 提供了一種更全面和自動化的解決方案。雖然其他工具可能需要手動掃描和分析，但 Cron.php SuperScan 自動化了該過程，從而節省了您的時間和精力。它還提供其結果的詳細報告，使您可以更容易地識別和解決潛在的威脅。

Cron.php SuperScan 可以防止黑客攻擊嗎？

雖然 Cron.php SuperScan 是檢測被黑客入侵文件的有效工具，但它並不能防止黑客攻擊。它的主要功能是提醒您潛在的威脅，以便您可以採取適當的措施。但是，定期使用此工具可以幫助您維護系統的安全並降低成功黑客攻擊的風險。

我應該多久運行一次 Cron.php SuperScan？

掃描頻率取決於您的特定需求和系統所需的安全性級別。但是，通常建議每天至少運行一次 Cron.php SuperScan 以獲得最佳安全性。

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，我該怎麼辦？

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，則必須立即採取行動。這可能包括刪除文件、從乾淨的備份中恢復文件或聯繫網絡安全專業人員以尋求進一步幫助。

我可以自定義 Cron.php SuperScan 的設置嗎？

是的，Cron.php SuperScan 允許您自定義其設置以滿足您的特定需求。這包括設置掃描頻率、指定要掃描的文件類型以及配置警報通知。

Cron.php SuperScan 適用於所有系統嗎？

Cron.php SuperScan 旨在與大多數支持 PHP 的系統一起工作。但是，它可能與並非所有系統兼容，因此建議在安裝之前檢查系統要求。

Cron.php SuperScan 是否免費使用？

Cron.php SuperScan 是一款付費工具，這意味著它需要付費使用。但是，考慮到它提供的安全級別以及成功黑客攻擊的潛在成本，對於大多數企業和個人來說，這是一項值得的投資。

以上是快速通過cron/php檢測到被黑的文件：superscan的詳細內容。更多資訊請關注PHP中文網其他相關文章！