使用Cron和Php检测网页是否被篡改

网络安全一直是业界永恒的话题,人们一直在与黑客之间进行着从不间断的较量。那么作为普通的一个网站如何能用最简单的方法去防止自己的网页被篡改呢？或者至少在当自己的网页被篡改后能以最快的速度得知呢？在本文中，将介绍使用Cron和Php结合的方法，检查某些指定的网页是否被篡改。

这个方法的核心思路其实很简单：“创建一个简单的数据库，其中保存了需要保护的文件的hash值，并且采用unix的cron调度方法，定期检测实际文件的hash值和原始文件的hash值，并且形成报告。”

当然，其中要涉及递归遍历服务器文件目录下的大量文件，并且要计算它们的hash值，下面将具体讲解其过程。

数据库设计

我们先来看下数据库应该如何设计。为了安全起见，我们应该单独建立一个数据库以存放需要保护文件的。如果读者的网站是托管网站的话，建议使用cPanel去创建数据库并且使用强密码（比如可以用strongpasswordgenerator.com这个网站去产生各长度位数的密码，至少要８位以上）。我们将数据库命名为baseline，表设计如下：

1. CREATETABLEbaseline(file_pathVARCHAR(200)NOTNULL,
2. file_hashCHAR(40)NOTNULL,acctVARCHAR(40)NOTNULL
3. PRIMARYKEY(file_path));
4. CREATETABLEtested(
5. testedDATETIMENOTNULL,accountVARCHAR(40)NOTNULL
6. PRIMARYKEY(tested));

在baseline表中，包含了一个长度很大的字段file_path，存放的是要保护文件的在服务器上的路径，而file_hash（用40位的长度去进行SHA1算法），而acct字段则表示是否监视账号还是域名。我们并将file_path设置为主键。

​而tested表中的tested字段则保存每次扫描的具体时间，而account字段和baseline表的acct字段是相同的，以允许分别单独扫描账号还是域名。

定义PHP文件前的一些准备工作

接下来，我们为开发php文件做一些准备工作，首先要定义一些php文件中要用到的常量。

PATH。这个是要在你的服务器上进行扫描的起始路径，通常是指代DocumentRoot。记得不要使用Windows中的反斜杠因为Apache和PHP都使用的是正向的斜杠。

访问数据库要涉及的地址，用户密码等参数，如SERVER('localhost'),USER,PASSWORDandDATABASE

以及一些其他变量如下：

​保存需要检查文件扩展名的数组。在这个例子中，只用数组保存了如.php、.htm和.js格式的文件。在本文中，如果使用了一个空的数组，则默认检查所有格式的文件（这是最安全的，但耗费不少资源）。

需要排除检查的目录。一般不建议这么做，如果确实需要不检查某个目录，则可以将其放置在本文中的一个数组中

此外还有几个参数需要设置，包括$file数组，初始化为空，$report初始化为空字符串以及$act字符串（配合数据表中的account/acct字段使用）。

开始编码

下面我们正式编码，先看如下代码：

1. $ext=array("php","html","js");//skip保存要忽略检查的文件夹
2. $skip=array("protected");//usedefinestatementsorentervaluesdirectlyinthemysqli_connect
3. define('SERVER','localhost');define('USER','yourusername');
4. define('PASS','yourpassword');define('DATABASE','databasename');
5. $db=mysqli_connect(SERVER,USER,PASS,DATABASE);
6. $dir=newRecursiveDirectoryIterator(PATH);$iter=newRecursiveIteratorIterator($dir);
7. while($iter->valid()){
8. //　忽略不需要检测的目录if(!$iter->isDot()&&!in_array($iter->getSubPath(),$skip))
9. {//获得指定要检测文件的扩展名
10. if(!emptyempty($ext)){
11. //PHP5.3.4使用如下语句if(in_array($iter->getExtension(),$ext))if(in_array(pathinfo($iter->key(),PATHINFO_EXTENSION),$ext))
12. {$files[$iter->key()]=hash_file("sha1",$iter->key());
13. }}else{
14. //针对要忽略检查的文件$files[$iter->key()]=hash_file("sha1",$iter->key());
15. }}
16. $iter->next();}
17. ?>

下面我们来讲解下上面的代码。首先，使用的是php中的两个内置函数RecursiveDirectoryIterator(获得指定目录下的所有文件和目录)，然后进行循环遍历，并且检查每一个目录是否在需要排除检测的目录之中，如果包含在检测列表中的话同时检测是否有需要排除检测的文件。最后将最终需要检测的文件放置在数组$files中，这个数组的键为文件的名称，而值则为经过SHA1算法运算后的哈希值。所以文件的数量可以马上通过以下方法获得

1. $report.="Fileshas".count($files)."records.\r\n";

然后，我们要从tested表中，获得最新一次经过哈希扫描的文件的时间，如下代码：

1. $results=mysqli_query($db,"SELECTtestedFROMtestedWHEREacct='$acct'ORDERBYtestedDESCLIMIT1");
2. if($results){
3. while($result=mysqli_fetch_array($results)){
4. $tested=$result['tested'];}
5. $report.="Lasttested$tested.\r\n";}

接下来，要对比的是经过hash扫描的文件的最新hash值和原来baseline表中的文件的哈希值是否有改变，使用的代码如下：

1. if(!emptyempty($files)){
2. $result=mysqli_query($db,"SELECT*FROMbaseline");if(!emptyempty($result))
3. {foreach($resultas$value)
4. {$baseline[$value["file_path"]]=$value["file_hash"];
5. }$diffs=array_diff_assoc($files,$baseline);
6. unset($baseline);}
7. }//分别将不相同的部分保存到Deleted,Altered和Added数组
8. if(!emptyempty($files)){
9. $results=mysqli_query($db,"SELECTfile_path,file_hashFROMbaselineWHEREacct='$acct'");if(!emptyempty($results))
10. {$baseline=array();//fromdatabase
11. $diffs=array();//$files和$baseline数组的不同while($value=mysqli_fetch_array($results))
12. {if(!array_key_exists($value["file_path"],$files))
13. {//删除了的文件
14. $diffs["Deleted"][$value["file_path"]]=$value["file_path"];$baseline[$value["file_path"]]=$value["file_hash"];
15. }else{//改变过的文件
16. if($files[$value["file_path"]]<>$value["file_hash"]){
17. $diffs["Altered"][$value["file_path"]]=$value["file_path"];$baseline[$value["file_path"]]=$value["file_path"];
18. }else{//没改变的文件
19. $baseline[$value["file_path"]]=$value["file_hash"];}
20. }}
21. if(count($baseline)<>
22. //增加的文件$diffs["Added"]=array_diff_assoc($files,$baseline);
24. }unset($baseline);
25. }}

当上面这段代码执行完毕后，$diffs数组或者是空的或者会包含改变了的文件（删除，修改，增加）和它们的哈希值。

然后我们可以将结果通过EMAIL发送给用户了。代码如下：

1. if(!emptyempty($diffs)){$report.="Thefollowingdiscrepancieswerefound:\r\n\r\n";
2. foreach($diffsas$status=>$affected){
3. if(is_array($affected)&&!emptyempty($affected)){
4. $report.="*$status*\r\n\r\n";foreach($affectedas$path=>$hash)$report.="?$path\r\n";
5. }}
6. }else{$report.="Filestructureisintact.\r\n";
7. }$mailed=mail('you@example.com',$acct.'IntegrityMonitorReport',$report);

    

并且要更新baseline表和tested表的数据，代码如下：

1. //清除旧数据mysqli_query($db,"DELETEFROMbaselineWHEREacct='$acct'");
2. //将新文件和对应的hash值加入foreach($filesas$path=>$hash)
3. {mysqli_query($db,"INSERTINTObaseline(file_path,file_hash,acct)
4. VALUES('$path','$hash','$acct')");}
5. mysqli_query($db,"INSERTINTOtested(tested,acct)VALUES(NOW(),'$acct')");mysqli_close($db);

最后，为了能让系统定时地执行这个php文件，可以充分利用unix中的cron任务计划，因此可以编写cron的文件如下：

1. /usr/local/bin/php-q/home/account/hashscan.php

其中，/usr/local/bin/php就是你服务器上php的路径，可以根据实际情况设置每天隔多久去检测一下服务器上的文件（这可以通过编写cron表达式去实现，关于如何编写cron表达式，读者可以参考相关的资料）。

要注意的是，本文介绍的只是如何在unix/linux上，针对简单的php网站使用检验文件哈希值的方法对文件进行检验是否篡改，其中依然要求用户首先的确保文件服务器安全的情况下，将所有相关文件上传完毕。假如管理员需要对文件进行更新修改，则读者可以利用本文中提到的原理，进行扩展修改以达到自定制的目的。本文的参考代码可以在：

http://dk.co.nz/HashAlert2.zip下载。

原文链接：ttp://www.sitepoint.com/detect-hacked-files-via-cronphp/