比思論壇

標題: url防篡改 [打印本頁]

作者: zhaoxu6679 時間: 2014-3-14 22:12
標題: url防篡改
之前工作需要，为nagios写的url篡改告警shell脚本。若url页面变动则告警。若为正常修改，则需手动重新生成hash文件，适用于变动不频繁而又较关键url。根据经验，若页面插入其他统计流量，显示时间等代码，则无法很好经行url修改监控。

功能核心是经行url比较。利用curl 下载页面，然后计算hash值，并保存以备下次比较，此部分思想由jokechoo提供，脚本实现：tqh。不同于防篡改，此处是实时url比较，告警。

而防篡改技术，一般由2组服务器提供web服务，一组对外服务，此组服务器无修改权限，一旦文件被修改就会被另一组后台服务器同步回去，以此实现防篡改。想要安全就要付出不少代价。

插件1. inithash.sh 计算原始hash值并保存。（注意修改生成hash文件的权限，或改为nagios用户生成）
插件2. check_hash nagios的检测插件

PS：插件内使用的是中文，注意编码格式utf-8，可先手工调试是否显示中文。若nagios主程序本身无中文支持可能显示为乱码。

代码如下，需要可下载附件。

一、插件1 inithash.sh

#!/bin/bash
# version 1.0 beta,2011.01.17
# used for add/update webpage hash
hash_lib=/tmp/test/hashfile
url_list=/tmp/test/urlfile #模式1 直接修改url文件地址
log_file=/tmp/test/updatehash.log
#######@@ #注释掉上面url_list，开启此处@@之间内容，变为交互模式。另一check脚本会生成update.list 方便update
#if [ $# -eq 1 -a -f "$1" ]
#then
# url_list="$1"
# echo $url_list
#else
# echo "ERROR: plz input 1 urlfile"
# exit
#fi
########@@
###以下注释内容暂无意义。
#[ ! -e $url_list ] && echo "not exist urlfile" && exit
###tmp_dir=/tmp/test
###web_tmp=/tmp/test/tmpfile
###cd $tmp_dir || echo "no tmp_dir,plz create first" && exit
while read LINE
do
curl -s -A topsec $LINE > tmpfileabc
#URL名可能含/，无法直接作为文件名，hash表需针对URL作修改
#if [ ! $? -eq 0 ] #URL页面无法下载，测试中
#then
#echo "this page cant download"
#fi
hashtmp=`sha1sum tmpfileabc` #生成当前页面HASH
greptmp=`grep $LINE $hash_lib` #检测该URL是否已hash
if [ $? -eq 0 ]
then
echo "The site $LINE has checked before, update the hash value."
sed -i "s#$greptmp#$hashtmp#" $hash_lib #用#做分隔，确保页面url中无#号
sed -i s#tmpfileabc#"$LINE"# $hash_lib #将tmpfileabc替换为正确url
echo `date +%Y%m%d_%R` "$LINE hash has updated" >> $log_file
else
echo "The site $LINE is a new check, add the hash value."
echo $hashtmp>> $hash_lib
sed -i "s#tmpfileabc#$LINE#" $hash_lib
fi
rm -f tmpfileabc
done < $url_list

二、插件2. check_url

#!/bin/bash
#version 1.0 ,2011.01.18
#nagios check http plug. check whether webpage has modified . url list is from file
#后续不同参数不同站点等
url_list=/tmp/test/urlfile
hash_lib=/tmp/test/hashfile
tmp_dir=/tmp/test
log_file=/tmp/test/hashcheck.log
need_update=/tmp/test/needupHASH.list
cd $tmp_dir
flag_a=0
flag_c=0
while read URL
do
curl -s -A topsec "$URL" > webtmpfile
current_hash=`sha1sum webtmpfile | awk '{print$1}'`
#####################check url hash
if `grep $URL $hash_lib>greptmpfile` #测试URL是否已经HASH处理过
then
if grep -q $current_hash greptmpfile #比对HASH值
then
flag_a=0 #未变动
else
flag_a=1 #变动
echo `date +%Y%m%d_%R` "$URL web changed" >> $log_file
echo "$URL" >>$need_update
#保存到需更新url文件中,或者直接从l_file文件中提提取
fi
else
flag_c=3 #HASH值未被保存过
echo `date +%Y%m%d_%R` "$URL hash should be create" >>$log_file
echo "$URL" >>$need_update
fi
done < $url_list
rm -f greptmpfile
rm -f webtmpfile
######################nagios checkstat
if [ $flag_c -eq 3 ]
then
if [ $flag_a -eq 1 ]
then
echo "网页改动，且检测到新URL" #检测到网页改动，且含有新URL
exit 3
else
echo "检测到新URL" #正常，但有新URL未做比对。后续手动/自动添加
exit 1
fi
else
if [ $flag_a -eq 0 ]
then
echo "一切正常" #页面未被篡改
exit 0
else
echo "网页内容改动" #改动
exit 2
fi
fi

作者: mlmlppp 時間: 2014-4-29 19:49
！看不懂啊！

歡迎光臨比思論壇 (http://108.170.5.98:8080/)