SuperScan：網(wǎng)站文件變更監(jiān)控利器

核心功能：

SuperScan 是一款升級版的腳本，旨在及時提醒網(wǎng)站管理員其文件發(fā)生的任何更改，包括新增、修改或刪除。其工作原理是掃描指定的目錄，并將當前文件的哈希值與數(shù)據(jù)庫中先前掃描存儲的哈希值進行比較。

高效且輕量：

SuperScan 工具高效且不會影響服務器性能。掃描包含 1500 個文件的帳戶大約只需 0.75 秒。它允許頻繁掃描而不會讓網(wǎng)站管理員不堪重負，只會報告自上次掃描以來的更改，并提供每日匯總報告。

取證支持和安全增強：

SuperScan 還支持取證調(diào)查，它在數(shù)據(jù)庫中存儲文件的最后修改日期和時間，以及最近掃描的哈希值。它可以在網(wǎng)站空間之外運行，以防止休閑黑客入侵，甚至可以通過更改 error_log 文件來提醒網(wǎng)站管理員編碼問題。

作為一名認證的道德黑客，我深知預防是阻止黑客入侵的最佳策略，但是，如果黑客真的突破了防線，那么越早知道，就能越快采取行動來限制損失。

之前，我介紹過一個名為 hashscan 的腳本，用于追蹤網(wǎng)站更改。該腳本通過每日 CRON 執(zhí)行，讀取指定目錄（例如，服務器上帳戶的 public_html 目錄）中的文件，生成哈希值（對于具有特定文件擴展名的文件），并將它們與數(shù)據(jù)庫中先前掃描的哈希值進行比較。對于網(wǎng)站所有者來說，這是一個很好的方法，可以讓他們及時發(fā)現(xiàn)黑客添加、更改或刪除的文件。

本文將介紹該腳本的更新版本，名為 SuperScan。

SuperScan 的優(yōu)勢：

SuperScan 的主要優(yōu)勢在于它可以報告帳戶中文件的任何更改，無論文件更改是添加、更改還是刪除。SuperScan 的設計初衷是為了避免讓網(wǎng)站管理員不堪重負。它只提供自上次掃描以來的更改報告（默認值為一小時，但可以通過 CRON 配置）和匯總報告（默認為每日，但也可以通過 CRON 配置）。

由于掃描包含 1500 個文件的帳戶大約需要 0.75 秒，因此 SuperScan 可以頻繁運行而不會影響服務器性能。

為了支持取證調(diào)查，文件最后修改日期和時間以及最近掃描的哈希值（以及已更改文件的先前掃描）都保存在數(shù)據(jù)庫中。

無需更改掃描程序文件，因為所有變量都在所需的配置腳本中設置。您可以在配置腳本中選擇要掃描的特定文件擴展名（或全部文件擴展名），或者如果選擇全部文件擴展名，則可以選擇要忽略的文件擴展名。此外，您還可以指定掃描程序不會掃描的目錄。

雖然 SuperScan 文件可以在網(wǎng)站空間內(nèi)進行測試，但我建議將其通過 CRON 移到網(wǎng)站空間之外以進行生產(chǎn)使用，以防止休閑黑客入侵。

最后，一個額外的好處是，(無擴展名)error_log 文件的更改會被捕獲，并可以將網(wǎng)站管理員的注意力吸引到測試過程中遺漏的編碼問題上。

SuperScan 邏輯：

SuperScan 的邏輯流程如下：

1. 讀取數(shù)據(jù)庫中文件的基線信息；
2. 掃描系統(tǒng)的文件并計算它們的哈希值；
3. 將基線文件與當前文件進行比較，以確定要生成的已更改文件：
   • 新增文件列表；
   • 已更改文件列表；
   • 已刪除文件列表；
4. 處理每個已更改文件列表（更新數(shù)據(jù)庫）；
5. 準備并發(fā)送報告（如果需要）。

數(shù)據(jù)庫、變量和工作數(shù)組：

為了避免在此處贅述細節(jié)，我在所有腳本中都添加了注釋。

簡而言之，數(shù)據(jù)庫中有三個表：

• baseline：包含 $file_path、文件的哈希值以及文件的最后修改日期和時間。我還添加了帳戶，以便多個帳戶可以使用單個數(shù)據(jù)庫；
• history：記錄每次檢測到的更改（或沒有更改）以及每次掃描；
• scanned：記錄掃描匯總?cè)掌诤蜁r間，以及更改數(shù)量和關聯(lián)帳戶。

警告 #1： 我必須強調(diào)，由 configure.php 設置的 $testing 變量將觸發(fā)大量的輸出，因此它只能用于測試，而不能在 CRON 作業(yè)期間使用！

警告 #2： 由于 path/to/file 用作鍵，因此它必須是唯一的。這意味著多個帳戶永遠不能掃描相同的文件。

警告 #3： 此外，Windows 服務器將使用反斜杠，這些反斜杠會立即更改為斜杠，因為它們會導致數(shù)據(jù)庫中字符丟失。此外，在文件名中使用撇號將導致數(shù)據(jù)庫查詢出現(xiàn)問題。

工作數(shù)組旨在利用 PHP 的函數(shù)，這些函數(shù)訪問鍵（$file_path；這也是文件結(jié)構迭代器，因此永遠不要更改 $iter->key()）。

$baseline 在開始掃描之前讀取，$current 是掃描的結(jié)果，$added、$altered 和 $deleted 數(shù)組累積來自 $baseline 的更改，并用于更新下一次掃描的 $baseline。

文件：

superscan.zip 文件包含 7 個文件：

• CreateTables.sql，可用于設置表；
• ReadMe.txt，提供了 SuperScan 腳本的概述；
• scanner.php，掃描腳本，需要 configure.php 和 scandb.php（連接到您的 MySQL 服務器并返回 $scandb 句柄）；
• reporter.php，將通過 CRON 提供最近掃描的摘要；
• CRON.txt，提供了 scanner.php 和 reporter.php 的示例 CRON 指令。

清理：

在檢測到文件更改時創(chuàng)建 $report，并在不是“負面報告”時存儲和發(fā)送電子郵件。匯總報告用于在您沒有收到更改報告時獲得“溫暖、模糊的感覺”。

在清理過程中，會自動清除歷史記錄和掃描表中超過 30 天的記錄，以防止數(shù)據(jù)庫無限增長，大型數(shù)組被銷毀（重置為空），數(shù)據(jù)庫被關閉。

總結(jié)：

我相信 SuperScan 比我之前的努力有了巨大的改進，是一個值得升級的工具。它可以頻繁地通知已更改的文件，而“負面報告”不會因不必要的“未更改”通知而讓網(wǎng)站管理員不堪重負。

從 GitHub 下載 SuperScan 代碼

致謝：

SuperScan 由 Han Wechgelaer (NL) 建議，他通過電子郵件建議將我之前的 hashscan 腳本擴展為捕獲帳戶文件更改的歷史記錄，以及進行更頻繁的評估并添加每日摘要。

Han 非?？犊靥峁┝怂谶@個項目上的啟動副本，在我們之間，這演變成了 SuperScan。如果沒有 Han 的溫和督促和幫助，SuperScan 就永遠不會啟動，當然也不會成為今天這個優(yōu)秀的工具。

我很想知道您如何看待這個腳本，或者如果您有任何問題或反饋。

關于通過 Cron.php SuperScan 檢測被黑客入侵的文件的常見問題解答：

什么是 Cron.php SuperScan，它是如何工作的？

Cron.php SuperScan 是一款功能強大的工具，旨在檢測和識別系統(tǒng)中被黑客入侵的文件。它的工作原理是定期（通常由用戶設置）掃描系統(tǒng)文件，并在檢測到任何可疑或修改的文件時發(fā)出警報。此工具對于需要維護系統(tǒng)安全性和完整性的網(wǎng)站管理員和系統(tǒng)管理員特別有用。

我如何在系統(tǒng)上設置 Cron.php SuperScan？

設置 Cron.php SuperScan 涉及將腳本上傳到您的服務器并將其配置為定期運行。這可以通過服務器的控制面板或通過命令行來完成。設置完成后，腳本將自動掃描您的系統(tǒng)文件并提醒您任何潛在的威脅。

Cron.php SuperScan 可以檢測哪些類型的文件？

Cron.php SuperScan 能夠檢測與黑客攻擊通常相關的各種文件類型。這包括 PHP 文件、HTML 文件、JavaScript 文件等等。它還可以檢測隱藏文件和目錄，這些文件和目錄可能被黑客用來未經(jīng)授權訪問您的系統(tǒng)。

Cron.php SuperScan 與其他文件掃描工具相比如何？

與其他文件掃描工具相比，Cron.php SuperScan 提供了一種更全面和自動化的解決方案。雖然其他工具可能需要手動掃描和分析，但 Cron.php SuperScan 自動化了該過程，從而節(jié)省了您的時間和精力。它還提供其結(jié)果的詳細報告，使您可以更容易地識別和解決潛在的威脅。

Cron.php SuperScan 可以防止黑客攻擊嗎？

雖然 Cron.php SuperScan 是檢測被黑客入侵文件的有效工具，但它并不能防止黑客攻擊。它的主要功能是提醒您潛在的威脅，以便您可以采取適當?shù)拇胧?。但是，定期使用此工具可以幫助您維護系統(tǒng)的安全并降低成功黑客攻擊的風險。

我應該多久運行一次 Cron.php SuperScan？

掃描頻率取決于您的特定需求和系統(tǒng)所需的安全性級別。但是，通常建議每天至少運行一次 Cron.php SuperScan 以獲得最佳安全性。

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，我該怎么辦？

如果 Cron.php SuperScan 檢測到被黑客入侵的文件，則必須立即采取行動。這可能包括刪除文件、從干凈的備份中恢復文件或聯(lián)系網(wǎng)絡安全專業(yè)人員以尋求進一步幫助。

我可以自定義 Cron.php SuperScan 的設置嗎？

是的，Cron.php SuperScan 允許您自定義其設置以滿足您的特定需求。這包括設置掃描頻率、指定要掃描的文件類型以及配置警報通知。

Cron.php SuperScan 適用于所有系統(tǒng)嗎？

Cron.php SuperScan 旨在與大多數(shù)支持 PHP 的系統(tǒng)一起工作。但是，它可能與并非所有系統(tǒng)兼容，因此建議在安裝之前檢查系統(tǒng)要求。

Cron.php SuperScan 是否免費使用？

Cron.php SuperScan 是一款付費工具，這意味著它需要付費使用。但是，考慮到它提供的安全級別以及成功黑客攻擊的潛在成本，對于大多數(shù)企業(yè)和個人來說，這是一項值得的投資。

以上是快速通過cron/php檢測到被黑的文件：superscan的詳細內(nèi)容。更多信息請關注PHP中文網(wǎng)其他相關文章！