Какой инструмент можно использовать для логирования вызовов небезопасных/подозрительных функций PHP?

Question

[karpo518]

Исходные данные: случайный виртуальный хостинг (Apache + Nginx, не VDS) c несколькими абсолютно любыми сайтами на php.
Задача: оперативно настроить логирование вызовов стандартных функций php из списка для каждого хоста на аккаунте.

Есть ли распространённый(доступный на хостингах из коробки или по запросу) инструмент, который бы позволил сделать это без вмешательства в код сайтов?

Answer 1

[karpo518]

В данный момент рассматриваю возможность использования расширения php-suhosin. В частности, для меня будут полезны опции suhosin.executor.func.blacklist и suhosin.simulation.

Answer 2

[ThunderCat]

оверрайд наверное подойдет как вариант, тут важно чтобы все запускалось обернутое вашим скриптом.

Comments

[maximw]

Для оборачивания всего сайта, если окружение позволяет (например, Апач с его .htaccess), то может помочь php.net/manual/en/ini.core.php#ini.auto-prepend-file

[maximw]

Оверрайд требует расширения PECL APD :(

[ThunderCat]

maximw: "доступный на хостингах из коробки или по запросу" вроде ничего невозможного.

Answer 3

[Александр Аксентьев]

Такого функционала нет из коробки.
Разве что делать php.net/manual/en/function.debug-backtrace.php
Либо дампить через xdebug.
Лайтовых инструментов для такого не встречал.

На шаредах не логируют "небезопасных/подозрительных функций PHP".
На шаредах их просто отключают.

Answer 4

[xmoonlight]

Это настраивается правами для процесса веб-сервера и нужные функции/опции отключают с помощью конфига (ini-файла). Всё остальное - не нужно.

Логирование файловых операций: https://linux-audit.com/monitoring-linux-file-acce...
Аудит безопасности на сервере: https://cisofy.com/lynis/

Comments

[maximw]

Я бы eval, файловые операции, curl мониторил.

[Stalker_RED]

maximw: В php.ini можно прописать disable_functions, и совсем их отключить.
Как-то так:

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

[maximw]

Stalker_RED: Спасибо, я знаю. Это был пример для xmoonlight . На большинстве хостингов не прокатит, у этой опции только общесистемные настройки PHP_INI_SYSTEM

[xmoonlight]

maximw: Stalker_RED: это я всё знаю. больше интересен ответ автора вопроса....

[karpo518]

xmoonlight: exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source, touch. Отключить все эти функции нет возможности. Например, битрикс использует в ядре функцию exec. Другие CMS могут также использовать какие-то из указанных функций в том числе в дополнительных модулях. Отключая эти функции, можно поломать сайты. Лог упростит поиск пути проникновения вируса на сайт и увеличит скорость реакции на подозрительную активность.

[xmoonlight]

karpo518:
1. использовать правила входящей и исходящей фильтрации трафика
2. можно логировать все файловые операции: https://linux-audit.com/monitoring-linux-file-acce...
3. а про антивирус под linux - что-нить слышали?

[karpo518]

xmoonlight: Нужно решение, которое можно быстро включить на большом количестве проектов, расположенных на разных хостингах. Нет возможности фильтровать трафик. Логирование файловых операций доступно на обычном хостинге? По антивирусу вопрос тот же.

[xmoonlight]

karpo518: логирование и антивирус включаются на уровне веб-сервера и файловой системы в соответствии с правами пользователей.