如何通過日志預防centos php攻擊

一、優化PHP配置，從源頭減少攻擊并規范日志記錄

禁用危險函數：通過php.ini文件禁用可能被遠程執行的函數（如eval()、exec()、passthru()、shell_exec()等），防止攻擊者通過輸入惡意代碼執行系統命令。例如，在php.ini中添加：disable_functions = eval,exec,passthru,shell_exec。
設置錯誤日志路徑與級別：關閉生產環境的錯誤顯示（避免泄露敏感信息），開啟日志記錄并將日志保存到安全目錄。例如：display_errors = Off、log_errors = On、error_log = /var/log/php_errors.log。同時，將error_reporting設置為E_ALL & ~E_NOTICE & ~E_STRICT，僅記錄嚴重錯誤。
限制文件操作范圍：使用open_basedir指令限制PHP腳本只能訪問指定目錄（如Web根目錄），防止惡意代碼遍歷文件系統。例如：open_basedir = /var/www/html/:/tmp/。

二、強化日志文件管理，防止篡改與未授權訪問

設置正確權限：日志文件應僅能被Web服務器用戶（如apache、nginx）和授權管理員訪問。例如，使用chown將日志文件所有者設為apache，組設為adm；用chmod設置權限為640（-rw-r-----）：chown apache:adm /var/log/php_errors.log、chmod 640 /var/log/php_errors.log。
使用SELinux增強保護：通過SELinux限制對日志文件的寫訪問。例如，為日志目錄設置httpd_sys_rw_content_t上下文：semanage fcontext -a -t httpd_sys_rw_content_t "/var/log/php_errors.log"，然后應用上下文：restorecon -v /var/log/php_errors.log。
配置日志輪轉：使用logrotate工具自動分割、壓縮舊日志，防止日志文件過大占用磁盤空間。創建/etc/logrotate.d/php文件，添加以下內容：

/var/log/php_errors.log {
    daily
    missingok
    rotate 7
    compress
    notifempty
    create 640 apache adm
    sharedscripts
    postrotate
        systemctl reload httpd > /dev/null 2>&1 || true
    endscript
}

此配置表示每天輪轉日志，保留7天的壓縮日志。

三、部署日志分析與監控，快速識別攻擊行為

使用專業日志分析工具：借助ELK Stack（Elasticsearch+Logstash+Kibana）或Splunk實現日志的集中存儲、實時分析與可視化。例如，通過ELK設置關鍵詞告警（如“SQL injection”“XSS attack”），快速定位異常請求。
自動化監控與告警：使用Fail2Ban監控日志中的惡意行為（如頻繁的登錄失敗、SQL注入嘗試），自動封禁攻擊IP。例如，創建/etc/fail2ban/jail.local文件，添加以下規則：

[php-errors]
enabled = true
filter = php-errors
action = iptables[name=PHP, port=80, protocol=tcp]
logpath = /var/log/php_errors.log
maxretry = 5
bantime = 3600

此配置表示當1小時內出現5次PHP錯誤（如SQL注入），則封禁該IP 1小時。
實時監控異?；顒?/strong>：通過grep、awk等工具定期檢查日志中的異常關鍵詞（如“Unauthorized”“eval”“union select”）。例如，實時監控PHP錯誤日志：tail -f /var/log/php_errors.log | grep -i "eval\|union select\|sql injection"。