網絡安全一直是業界永恆的話題,人們一直在與黑客之間進行著從不間斷的較量。那麼作為普通的一個網站如何能用最簡單的方法去防止自己的網頁被篡改呢?或者至少在當自己的網頁被篡改後能以最快的速度得知呢?在本文中,將介紹使用cron和PHP結合的方法,檢查某些指定的網頁是否被篡改。
這個方法的核心思路其實很簡單:“創建一個簡單的
數據庫,其中保存了需要保護的文件的hash值,並且采用unix的cron調度方法,定期檢測實際文件的hash值和原始文件的hash值,並且形成報告。”
當然,其中要涉及遞歸遍歷服務器文件目錄下的大量文件,並且要計算它們的hash值,下面將具體講解其過程。
數據庫設計
我們先來看下數據庫應該如何設計。為了安全起見,我們應該單獨建立一個數據庫以存放需要保護文件的。如果讀者的網站是托管網站的話,建議使用cPanel去創建數據庫並且使用強密碼(比如可以用strongpasswordgenerator.com這個網站去產生各長度位數的密碼,至少要8位以上)。我們將數據庫命名為 baseline,表設計如下:
CREATE TABLE baseline (
file_path VARCHAR(200) NOT NULL,
file_hash CHAR(40) NOT NULL,
acct VARCHAR(40) NOT NULL
PRIMARY KEY (file_path)
);
CREATE TABLE tested (
tested DATETIME NOT NULL,
account VARCHAR(40) NOT NULL
PRIMARY KEY (tested)
);
在baseline表中,包含了一個長度很大的字段file_path,存放的是要保護文件的在服務器上的路徑,而file_hash(用40位的長度去進行SHA1算法),而acct字段則表示是否監視賬號還是域名。我們並將file_path設置為主鍵。
而tested表中的tested字段則保存每次掃描的具體時間,而account字段和baseline表的acct字段是相同的,以允許分別單獨掃描賬號還是域名。
定義PHP文件前的一些准備工作
接下來,我們為開發php文件做一些准備工作,首先要定義一些php文件中要用到的常量。
PATH。這個是要在你的服務器上進行掃描的起始路徑,通常是指代DocumentRoot。記得不要使用Windows中的反斜槓因為Apache和PHP都使用的是正向的斜槓。
訪問數據庫要涉及的地址,用戶密碼等參數,如SERVER ('localhost'), USER, PASSWORD and DATABASE
以及一些其他變量如下:
保存需要檢查文件擴展名的數組。在這個例子中,只用數組保存了如.php、.htm和.js格式的文件。在本文中,如果使用了一個空的數組,則默認檢查所有格式的文件(這是最安全的,但耗費不少資源)。
需要排除檢查的目錄。一般不建議這麼做,如果確實需要不檢查某個目錄,則可以將其放置在本文中的一個數組中
此外還有幾個參數需要設置,包括$file數組,初始化為空,$report初始化為空字符串以及$act字符串(配合數據表中的account/acct字段使用)。
開始編碼
下面我們正式編碼,先看如下代碼:
<?php
//初始化
$ext = array("php","html","js");
//skip保存要忽略檢查的文件夾
$skip = array("protected");
// use define statements or enter values directly in the mysqli_connect
define('SERVER','localhost');
define('USER','your user name');
define('PASS','your password');
define('DATABASE','database name');
$db = mysqli_connect(SERVER,USER,PASS,DATABASE);
$dir = new RecursiveDirectoryIterator(PATH);
$iter = new RecursiveIteratorIterator($dir);
while ($iter->valid())
{
// 忽略不需要檢測的目錄
if (!$iter->isDot() && !in_array($iter->getSubPath(), $skip))
{
// 獲得指定要檢測文件的擴展名
if (!emptyempty($ext))
{
// PHP 5.3.4使用如下語句 if (in_array($iter->getExtension(), $ext))
if (in_array(pathinfo($iter->key(), PATHINFO_EXTENSION), $ext))
{
$files[$iter->key()] = hash_file("sha1", $iter->key());
}
} else {
// 針對要忽略檢查的文件
$files[$iter->key()] = hash_file("sha1", $iter->key());
}
}
$iter->next();
}
?>
下面我們來講解下上面的代碼。首先,使用的是php中的兩個內置函數RecursiveDirectoryIterator(獲得指定目錄下的所有文件和目錄),然後進行循環遍歷,並且檢查每一個目錄是否在需要排除檢測的目錄之中,如果包含在檢測列表中的話同時檢測是否有需要排除檢測的文件。最後將最終需要檢測的文件放置在數組$files中,這個數組的鍵為文件的名稱,而值則為經過SHA1算法運算後的哈希值。所以文件的數量可以馬上通過以下方法獲得
$report .= "Files has " . count($files) . " records.\r\n";
然後,我們要從tested表中,獲得最新一次經過哈希掃描的文件的時間,如下代碼:
$results = mysqli_query($db,"SELECT tested FROM tested WHERE acct = '$acct'
ORDER BY tested DESC LIMIT 1");
if ($results)
{
while($result=mysqli_fetch_array($results))
{
$tested = $result['tested'];
}
$report .= "Last tested $tested.\r\n";
}
接下來,要對比的是經過hash掃描的文件的最新hash值和原來baseline表中的文件的哈希值是否有改變,使用的代碼如下:
if (!emptyempty($files))
{
$result = mysqli_query($db,"SELECT * FROM baseline");
if (!emptyempty($result))
{
foreach ($result as $value)
{
$baseline[$value["file_path"]] = $value["file_hash"];
}
$diffs = array_diff_assoc($files, $baseline);
unset($baseline);
}
}
// 分別將不相同的部分保存到 Deleted, Altered 和 Added 數組
if (!emptyempty($files))
{
$results = mysqli_query($db,"SELECT file_path, file_hash FROM baseline WHERE acct = '$acct'");
if (!emptyempty($results))
{
$baseline = array(); // from database
$diffs = array(); // $files 和 $baseline數組的不同
while ($value = mysqli_fetch_array($results))
{
if (!array_key_exists($value["file_path"], $files))
{
// 刪除了的文件
$diffs["Deleted"][$value["file_path"]] = $value["file_path"];
$baseline[$value["file_path"]] = $value["file_hash"];
} else {
// 改變過的文件
if ($files[$value["file_path"]] <> $value["file_hash"])
{
$diffs["Altered"][$value["file_path"]] = $value["file_path"];
$baseline[$value["file_path"]] = $value["file_path"];
} else {
// 沒改變的文件
$baseline[$value["file_path"]] = $value["file_hash"];
}
}
}
if (count($baseline) < count($files))
{
// 增加的文件
$diffs["Added"] = array_diff_assoc($files, $baseline);
}
unset($baseline);
}
}
當上面這段代碼執行完畢後,$diffs數組或者是空的或者會包含改變了的文件(刪除,修改,增加)和它們的哈希值。
然後我們可以將結果通過EMAIL發送給用戶了。代碼如下:
if (!emptyempty($diffs)) {
$report .= "The following discrepancies were found:\r\n\r\n";
foreach ($diffs as $status => $affected)
{
if (is_array($affected) && !emptyempty($affected))
{
$report .= "* $status *\r\n\r\n";
foreach($affected as $path => $hash) $report .= " ?$path\r\n";
}
}
} else {
$report .= "File structure is intact.\r\n";
}
$mailed = mail('[email protected]', $acct . ' Integrity Monitor Report',$report);
並且要更新baseline表和tested表的數據,代碼如下:
// 清除舊數據
mysqli_query($db,"DELETE FROM baseline WHERE acct = '$acct'");
// 將新文件和對應的hash值加入
foreach ($files as $path => $hash)
{
mysqli_query($db,"INSERT INTO baseline (file_path, file_hash, acct)
VALUES ('$path','$hash', '$acct')");
}
mysqli_query($db,"INSERT INTO tested (tested, acct) VALUES (NOW(), '$acct')");
mysqli_close($db);
最後,為了能讓系統定時地執行這個php文件,可以充分利用unix中的cron任務計劃,因此可以編寫cron的文件如下:
/usr/local/bin/php -q /home/account/hashscan.php
其中,/usr/local/bin/php就是你服務器上php的路徑,可以根據實際情況設置每天隔多久去檢測一下服務器上的文件(這可以通過編寫cron表達式去實現,關於如何編寫cron表達式,讀者可以參考相關的資料)。
要注意的是,本文介紹的只是如何在unix/linux上,針對簡單的php網站使用檢驗文件哈希值的方法對文件進行檢驗是否篡改,其中依然要求用戶首先的確保文件服務器安全的情況下,將所有相關文件上傳完畢。假如管理員需要對文件進行更新修改,則讀者可以利用本文中提到的原理,進行擴展修改以達到自定制的目的。本文的參考代碼可以在:http://dk.co.nz/HashAlert2.zip下載。
