网站防篡改-重构版1.4 支持溯源日志查看

1.4更新日志
1.【新增】溯源日志功能
2.【优化】站点防护的实现逻辑
3.【优化】进程服务运行方式和服务日志
4.【修复】部分情况启动服务失败问题

一、溯源日志查看
1.功能描述        目前支持web上的攻击链可溯源查看，如果黑客从web应用上，进行一系列攻击操作，会记录其相关的最近20条攻击链。
2.效果展示-针对网站的防御测试
首先把php 的system函数删除 （测试完之后记得把system函数写回去）


删除之后得重启php


写一个test.php文件

1. <?php
   
2. system($_GET['shell']);

复制代码

访问一下，访问url拼接下,尝试往22323.php文件上，写入信息

1. http://192.168.77.150:12345/test.php?shell=echo%20%22hello%20world%22%20%3E%3E%20/www/wwwroot/bacon.com/22323.php

复制代码

没有开启前，会成功将内容写入文件上，开启后，会拦截住这一行为



目前溯源日志只处理了一层的数据，在这里你可以查看详细信息
主要就看三个地方

• 是哪一个ip攻击的：图示为192.168.7.88（测试ip）
• 请求什么内容：图示为调用test.php,尝试往22323.php文件写入内容
• 是否成功：看状态码
  

二、模拟各种情况模拟测试
1. 防护400个网站测试
       400多个网站其中包含有20个不同开源CMS、1个占用3G的纯php文件网站、380个左右的小网站
防护时间：7min左右
占用内存：100M左右
防护目录数量：20w
效果如图

内存占用查看：可以使用【任务管理器】进行查看内存使用情况

2. 短时间快速写入文件情况
写一份BTTest.php文件：遍历9000次，尝试往一个已知文件22.php添加内容，

通过浏览器访问下这个文件，查看下拦截日志，拦截成功，查看22.php文件正常

1. http://url:端口/BTTest.php

复制代码

此时，由于短时间的多次文件操作，如1秒10次文件修改，会被识别为恶意操作，直接锁定文件60s，若再次尝试修改文件，将会显示"无权限"修改，如图所示



关于网站防护的一些注意事项

• 防护前，先查看下磁盘空间是否充足，尽可能磁盘空间要大于5G，网站较多的，需要预留多一点磁盘空间；
  
• 由于每个网站的目录结构都是不一样的，在防护前，需要先剔除掉那些存放缓存文件、日志文件等目录;
• 若出现配置完排除列表和保护列表，发现部分目录防护失效了，可以尝试重启下防篡改服务
  

PS

• 网站防篡改-重构版后续会保持一周1~2次的迭代频率
• 如果还有其余的地方需要调整的，或者是有想添加的新功能需求，都可在本贴留言，也可直接对线我Q 2876740043
• 有哪些地方没说明清楚的地方，都可留言