Какие файлы и папки лучше исключить из мониторинга безопасности сайта SiteGuardPro?

Система мониторинга файлов, такая как SiteGuardPro, предназначена для обнаружения несанкционированных изменений, которые могут указывать на взлом, внедрение вредоносного кода (бэкдоров, шеллов) или дефейс сайта. Однако сканирование всех файлов на хостинге и отслеживание каждого изменения может привести к генерации огромного количества "шума" – уведомлений о легитимных изменениях, которые будут маскировать реальные угрозы.

Правильная настройка исключений из мониторинга позволяет:

• Сократить количество ложных срабатываний: Вы будете получать уведомления только о тех изменениях, которые действительно важны с точки зрения безопасности.
• Ускорить процесс сканирования: Агент мониторинга не будет тратить время и ресурсы на проверку заведомо безопасных или часто меняющихся директорий и файлов.
• Экономить место: Меньше данных о снимках файловой системы и отчетах будет храниться на сервере мониторинга и в рабочей директории агента.
• Повысить производительность сервера клиента: Сканирование будет потреблять меньше CPU и дискового I/O во время работы агента.

Вот рекомендательный список типов файлов и директорий, которые часто имеет смысл исключить из файлового мониторинга SiteGuardPro, с объяснением причин и необходимыми оговорками.

Где настраивать исключения в модуле Битрикс

В модуле "SiteGuardPro: Мониторинг безопасности сайта" для 1С-Битрикс (v.1.0.0), настройки исключений находятся на странице настроек модуля в административной части: Настройки -> Настройки продукта -> Настройки модулей -> SiteGuardPro: Мониторинг безопасности сайта. Там есть поля:

• Исключаемые директории: Указывается список относительных путей директорий через запятую.
• Сканируемые расширения файлов: Указывается список расширений файлов через запятую. Сканируются только файлы с этими расширениями.
• Исключаемые шаблоны имен файлов: Указывается список шаблонов имен файлов (с использованием масок *, ?, []) через запятую. Файлы, имена которых совпадают с любым шаблоном из списка, будут исключены независимо от расширения.

Рекомендуемые директории для исключения

Эти директории обычно содержат временные или кэшированные данные, которые постоянно меняются в ходе нормальной работы сайта и не представляют угрозы с точки зрения внедрения исполняемого кода.

Директории кеша:

bitrix/cache/ и bitrix/managed_cache/ (для 1С-Битрикс)
upload/cache/ (если используется отдельный кеш для медиафайлов)
Любые другие директории, используемые вашей CMS или фреймворком для хранения кеша (например, wp-content/cache/ для WordPress, cache/ для Joomla, storage/cache/ для Laravel).

Причина исключения: Содержимое этих директорий постоянно генерируется и удаляется самой системой, что приводит к большому объему ложных срабатываний.

Директории для временных файлов:

upload/tmp/ или upload/temp/ (временные файлы загрузки)
Системные временные директории, если они доступны и используются PHP (/tmp, /var/tmp - зависит от настройки сервера, обычно не являются частью DOCUMENT_ROOT).

Причина исключения: Файлы здесь живут очень короткое время и не являются частью постоянной структуры сайта или местом для бэкдоров.

Директории логов:

bitrix/logs/
Любые другие директории, где хранятся логи веб-сервера, PHP, базы данных, или логи вашего приложения (например, storage/logs/ для Laravel).

Причина исключения: Файлы логов постоянно обновляются, фиксируя события. Их изменения не указывают на взлом, а большой размер и частое обновление создают избыточный трафик мониторинга.

Директории пользовательских загрузок:

upload/ (для 1С-Битрикс, содержит пользовательские файлы и файлы системы)
wp-content/uploads/ (для WordPress)
Любые другие директории, куда пользователи или система загружают изображения, документы, видео и т.п.

Причина исключения: Содержимое меняется при каждой загрузке пользователем легитимного контента.

Оговорка: Если ваш сайт позволяет загрузку исполняемых файлов (например, PHP), или уязвим к атакам через медиафайлы, исключение *всей* директории загрузок может быть рискованным. В таких случаях лучше исключить только поддиректории с заведомо безопасными файлами (например, миниатюры изображений) или использовать дополнительные средства защиты (например, проверка загружаемых файлов антивирусом, запрет выполнения PHP в директории загрузок через веб-сервер). Мониторинг изменений в файлах *внутри* upload, которые *являются* исполняемым кодом (например, .php файлы, которые там не должны быть), все равно будет важен.

Директории сторонних библиотек и системные директории:

vendor/ (для библиотек Composer)
node_modules/ (для библиотек Node.js)
.git/, .svn/ (директории систем контроля версий)

Причина исключения: Эти директории содержат большое количество файлов, которые редко меняются в ходе обычной работы сайта (только при обновлении зависимостей или pull'е из репозитория). Их объем может значительно замедлить сканирование.

Оговорка для vendor/, node_modules/: Изменение файлов внутри этих директорий *между* обновлениями зависимостей может быть признаком компрометации. Если вы не обновляете зависимости часто или хотите максимально полную картину, можно их *не* исключать, но будьте готовы к большому количеству уведомлений при каждом обновлении.

Рабочая директория агента SiteGuardPro:

bitrix/cache/avagency.siteguardclient/agent_data/ (для модуля Битрикс)
site_monitor_agent_data/ (для автономного агента)

Причина исключения: Эта директория используется самим агентом для хранения снимка файловой системы и логов. Изменения в ней являются частью работы агента и не должны вызывать тревогу. Агент (как в модуле Битрикс, так и автономный скрипт) автоматически исключает свои рабочие файлы и директории из сканирования, но явное указание директории в настройках исключений также не повредит.

Рекомендуемые шаблоны имен файлов для исключения

Эти шаблоны обычно соответствуют временным или резервным копиям файлов, которые не являются активной частью сайта.

• *.bak, *.old, *.temp (временные или резервные копии)
• *~, #*#, .#*# (временные файлы, создаваемые некоторыми редакторами)
• *.tar.gz, *.zip, *.rar, *.gz, *.bz2, *.7z (архивы - обычно не исполняются, но могут содержать вредоносный код)
• *.sql, *.sql.gz, *.sql.bz2, *.sql.zip (дампы базы данных - содержат данные, но не исполняемый код на сайте)
• *.log (файлы логов - если не исключена вся директория логов)
• .DS_Store (файлы macOS)

Причина исключения: Эти файлы являются служебными, временными или архивными копиями и их изменение или наличие обычно не связано напрямую с активным вредоносным кодом, выполняющимся на сайте. Исключение архивов и дампов также помогает сократить время сканирования и объем данных.

Важные соображения

• Начинайте с минимальных исключений. Лучше получить слишком много уведомлений сначала, чем пропустить реальную угрозу. Постепенно добавляйте исключения для директорий, которые генерируют слишком много шума и не являются критичными.

• Документируйте свои исключения. Записывайте, почему вы исключили ту или иную директорию или шаблон.

• Регулярно просматривайте список исключений. Убедитесь, что они по-прежнему актуальны для вашего сайта и его структуры.

• Обратите внимание на формат: В модуле Битрикс "Исключаемые директории" указываются *относительно корня сайта* и *без ведущего или завершающего слеша*. Например, bitrix/cache или upload/images.

• Сканируемые расширения: Если список "Сканируемые расширения файлов" задан, то будут сканироваться *только* файлы с этими расширениями. Убедитесь, что вы включили все расширения, которые могут содержать исполняемый код (php, js, phtml, html - так как может быть инъекция JS или iframe), конфигурацию (htaccess, conf, xml, json, sql), и, возможно, другие, которые вы хотите отслеживать.

Итог

Применяя эти рекомендации, вы сможете настроить мониторинг SiteGuardPro таким образом, чтобы он был максимально эффективным в обнаружении реальных угроз, минимизируя при этом "белый шум".

SiteGuard Pro - Точный контроль для вашей безопасности!