Domov Řešení AI-Bolit je účinný hostovaný virus a skener jiného škodlivého kódu. AI Bolit Scanner - antivirová kontrola na hostingu (jak používat skript) Kontrola virů Aibolit

AI-Bolit je účinný hostovaný virus a skener jiného škodlivého kódu. AI Bolit Scanner - antivirová kontrola na hostingu (jak používat skript) Kontrola virů Aibolit

je antivirový skener a Škodlivý kód nová generace, kterou již používají desítky tisíc webmasterů a správců serverů.

Hledá viry, hackerské skripty, phishingové stránky, dveře a další typy škodlivé skripty stažené hackery při hackování webových stránek.

Pokud má váš web problémy, například:

antiviry blokují přístup na stránky webu,
se na stránkách objevily odkazy
při zadávání ze smartphonu nebo tabletu dochází k mobilnímu přesměrování,
návštěvnost prudce klesla
návštěvníci si stěžují na viry,
hostování blokované pošty pro rozesílání spamu,
web je podezřelý z napadení

zkontrolujte web pomocí skeneru AI-Bolit. Pomůže vám najít soubory, které hostují backdoor hackera nebo webový shell, kód pro prodej odkazů nebo spammer.

Skener AI-Bolit je zdarma pro nekomerční použití, každý webmaster může nahrát skener na web a zkontrolovat svůj zdroj na viry a hackování.

AI-Bolit je doporučován mnoha ruskými poskytovateli hostingu, někteří z nich již skener zabudovali do ovládacího panelu virtuální hosting, který umožňuje vlastníkovi účtu provést antivirovou kontrolu jedním kliknutím.

Skener je navržen odborníky v informační bezpečnost společnost "Revizium", specializující se na úpravu stránek a ochranu proti hackerům.

Každý den při dezinfekci a obnově stránek objevují specialisté Revizium nové škodlivé skripty a sofistikovanější způsoby, jak skrýt škodlivý kód. Tyto informace se používají k opravě algoritmu skeneru a doplnění základny pravidel, která tvoří Skener AI-Bolit s každou novou verzí efektivnější.

V čem je skener AI-Bolit jedinečný?

Slabou stránkou moderních skenerů malwaru na straně serveru je jejich přístup k detekci malwaru a antivirové databázi. Serverové antiviry hledají virový a hackerský kód pomocí pevných parametrů (kontrolní součet souborů, hash, fragmenty řetězců). Vývojáři moderních škodlivých skriptů se zároveň naučili oklamat skenery pomocí šifrování kódu, čímž se každá nová kopie liší od té předchozí: používají proměnnou obfuskaci, šifrování spustitelného kódu, nepřímá volání a další přístupy. Proto staré metody vyhledávání virů přestávají fungovat. Pokud dříve správce systému stačilo provést příkaz

Najít -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST)< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find $-regex ".*\.php$" -o -regex ".*\.cgi$" $ -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

Pro hledání všech hackerských shellů to nyní již nestačí, protože hackerský webový shell vypadá takto:

A mění svou strukturu a reprezentaci řetězce.

Potřebujeme efektivnější mechanismus pro vyhledávání škodlivého kódu. AI-Bolit proto používá trochu jiný přístup.

Při hledání škodlivého kódu využívá skener přednormalizaci zdrojového kódu, vyhledávač regulárních výrazů a heuristiku. To vše dohromady umožňuje detekovat kódované modifikace webových shellů a zadních vrátek, stejně jako nové, dosud neznámé viry a hackerské skripty, identifikovat je pomocí alternativních parametrů (pokud například zdrojový kód používá typická volání hackerských skriptů, soubory mají náhodně generované názvy, nestandardními atributy souborů atd.). Použití pokročilého algoritmu detekce malwaru umožňuje skeneru AI-Bolit najít zašifrované fragmenty polymorfní povahy. Například tyto:

V důsledku experimentů AI-Bolit mnohokrát ukázal detekci hackerských skriptů ve srovnání s ClamAv a MalDet, které se používají na mnoha hostingových stránkách jako bezplatná antivirová řešení.

Jak funguje skener AI-Bolit

Pro kontrolu webu stačí nahrát skener do adresáře webu (na hosting nebo na lokální počítač se zálohou webu) a spustit. Skener lze otevřít v prohlížeči nebo spustit v režimu příkazového řádku přes SSH. Kromě toho může AI-Bolit zkontrolovat zálohu webu lokálně na vašem počítači.

Výsledkem kontroly webu je podrobná zpráva ve formátu html nebo text, kterou může automaticky odeslat e-mailem.

Stránka obsahuje podrobné video instrukce a průvodce pro začátečníky.

Jste si jisti, že váš web není napaden?

Většina vlastníků stránek si není vědoma toho, že jejich stránky byly napadeny hackerem a načteny hackerskými skripty. Proto vám doporučujeme zkontrolovat své stránky pomocí prohledávače AI-Bolit právě teď. Máte-li jakékoli dotazy týkající se zprávy o skeneru, zašlete nám ji do Revizium na adresu [e-mail chráněný](ve formě .zip archivu), pomůžeme vám na to přijít.

Aktualizace skeneru jsou oznámeny na našem Twitteru

Největší funkčnost je k dispozici při spuštění skeneru AI-BOLIT v režimu příkazového řádku. To lze provést jak pod Windows/Unix/Mac OS X, tak přímo na hostingu, pokud máte přístup přes SSH a hosting nijak výrazně neomezuje spotřebované zdroje procesoru.

Upozorňujeme, že ke spuštění skeneru je vyžadována verze konzoly PHP 7.1 a vyšší. Starší verze nejsou oficiálně podporovány. Zkontrolujte aktuální verzi pomocí příkazu php -v

Reference parametrů příkazového řádku skeneru AI-BOLIT

Zobrazit nápovědu

php ai-bolit.php --help

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Skenovat pouze konkrétní rozšíření

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl

Připravte soubor karantény pro odeslání bezpečnostním specialistům. Archiv AI-QUARANTINE-XXXX.zip bude vytvořen s heslem.

php ai-bolit.php --karanténa

Spusťte skener v "paranoidním" režimu (doporučeno pro získání co nejpodrobnější zprávy)

php ai-bolit.php --mode=2

php ai-bolit.php --mode=1

Zkontrolujte jeden soubor „pms.db“, zda neobsahuje škodlivý kód

php ai-bolit.php-jpms.db

Spusťte skener s velikostí paměti 512 Mb

php ai-bolit.php --memory=512M

Nastavte maximální velikost naskenovaného souboru na 900 kb

php ai-bolit.php --size=900K

Pauza 500 ms mezi soubory při skenování (pro snížení zatížení)

php ai-bolit.php --delay=500

Odeslat zprávu o skenování e-mailem [e-mail chráněný]

php ai-bolit.php [e-mail chráněný]

Vytvořte zprávu v /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Prohledejte adresář /home/s/site1/public_html/ (pokud není nastavena možnost --report=report_file, bude sestava standardně vytvořena v tomto adresáři)

php ai-bolit.php --path=/home/s/site1/public_html/

Po dokončení skenování proveďte příkaz.

php ai-bolit.php --cmd="~/postprocess.sh"

Získejte přehled ve formátu prostého textu s názvem site1.txt

php ai-bolit.php-lsite1.txt

Hovory můžete kombinovat např.

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,podezření

Kombinací volání skeneru AI-BOLIT s dalšími unixovými příkazy můžete provádět například dávkovou kontrolu stránek. Níže je uveden příklad kontroly několika webů hostovaných v rámci účtu. Pokud jsou například stránky umístěny v adresáři /var/www/user1/data/www, příkaz ke spuštění skeneru bude

najít /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \;

Přidáním volby --report můžete ovládat adresář, ve kterém se budou generovat zprávy o skenování.

php seznam parametrů ai-bolit.php ... --eng

Přepněte rozhraní sestav do angličtiny. Tento parametr musí být poslední.

Integrace s dalšími službami a hostovacím panelem

php ai-bolit.php --json_report=/cesta/soubor.json

Vygenerujte zprávu ve formátu json

php ai-bolit.php --progress=/path/progress.json

Uložte stav kontroly do souboru ve formátu json. Tento soubor bude obsahovat strukturovaná data ve formátu json: aktuální skenovaný soubor, kolik souborů bylo naskenováno, kolik souborů zbývá ke kontrole, procento kontroly, čas do dokončení kontroly. Tento mechanismus lze použít k zobrazení ukazatele průběhu a dat o kontrolovaných souborech v panelu. Po dokončení skenování se soubor automaticky odstraní.

php ai-bolit.php --handler=/cesta/hander.php

Externí obsluha události. Můžete přidat vlastní obslužné rutiny pro spuštění/zastavení skenování/průběh skenování/chyby skenování. Příklad souboru lze nalézt v archivu skeneru v adresáři tools/handler.php. Například po dokončení kontroly můžete se souborem zprávy něco udělat (poslat jej poštou, zabalit do archivu atd.).

Hledal jsem na internetu zdarma "placené" téma pro stránky. Naštěstí je takových stránek dost. Pravda, navzájem se kopírují =) Ze zkušenosti s prací s takovými šablonami jsem věděl, že někdy musíte za takovou drobnost zaplatit celou. Protože velmi špatní lidé vkládají do takových šablon nejrůznější ošklivé věci, které mohou slušným programátorům způsobit velké potíže. Pamatuji si, že můj antivirus ESET našel a nadával na base64. Teď už taky nenadává. Tím chci říct, že pokud to zkontrolujete antivirem, nepomůže to.

Před Ai-Bolit jsem zkontroloval soubory pomocí Total Commanderu na obsah určitých slov a podle toho, co jsem našel, jsem to zkontroloval a opravil. Ale to je velmi zdlouhavý úkol. A rozhodl jsem se najít optimálnější a rychlejší hledat řešení. A nalezeno. Toto je - AI-Bolit - unikátní bezplatný skript pro detekci virů, trojských koní, zadních vrátek, hackerských aktivit na hostingu.

A co tedy tento skript umí:

hledejte na hostingu viry, nejrůznější škodlivé a hackerské skripty: shelly založené na signaturách, shelly založené na jednoduché heuristice – vše, co běžné antiviry prostě nenajdou.
pracovat se všemi nejpopulárnějšími cms bez výjimky, včetně joomla, wordpress, drupal, bitrix...
hledejte v .htaccess přesměrování na škodlivé stránky
vyhledejte kód sape/trustlink/linkfeed v souborech .php
identifikovat dveře
zobrazit adresáře otevřené pro zápis
hledat neviditelné odkazy v šablonách

Proč je tento skript potřeba?

Zkušený hacker dokáže hacknout téměř jakýkoli web. A váš web nemusí být výjimkou. Proč je web napadený hackery nebezpečný? Po získání přístupu k webu může útočník provést následující:

„sloučit“ vaši návštěvnost do vašich projektů
stáhnout obsah serveru a databáze za účelem prodeje třetím stranám
změnit kontaktní nebo platební údaje na webu
stahuje osobní údaje uživatelů
umístí na váš web dveře se spamovými odkazy
vnese na stránky webu viry, trojské koně nebo exploity, které infikují návštěvníky
bude odesílat spam z vašeho serveru
prodá přístup k napadené stránce dalším útočníkům k následnému neoprávněnému průniku
a tak dále... Je to smutné. Ano?

Ai-Bolit vám umožňuje včas odhalit spoustu malwaru a podezřelé změny hostování, čímž snižuje riziko, že vám vyhledávače zakážou viry a brány. Umožňuje vám také včas zjistit možné úniky informací a další potíže týkající se vašeho webu. CHLADNÝ!!!

Jak používat skript

V archivu skriptů je VELMI jasný návod. Standardně „doktor“ skenuje v normálním režimu s minimálním počtem podpisů a minimálním počtem falešných poplachů.

Existují dvě možnosti ověření. Oba jsou popsány v návodu. Uvedu jen to první - zjednodušené.

Možnost spuštění prohlížeče (nedoporučuje se, protože provádí pouze expresní skenování)

Stáhněte si archiv se skriptem (viz přiložené soubory)
Rozbalte.zip
Změňte heslo v řádku define("PASS", "put_any_strong_password_here_8_symbols_min");
Povolit režim "expert" v řádku define("AI_EXPERT", 0); // nahraďte 0 1
zkopírujte soubory ze složky /ai-bolit/ na server v kořenovém adresáři
zkopírujte ze složky know_files soubory, které odpovídají vašemu cms
otevřete v prohlížeči http://sitename.com/ai-bolit.php?p=My456Pass123 a počkejte na zprávu
!!!po zobrazení sestavy smažte soubory z aibolitu a samotný skript ze stránek!!!

To je vše. Poté se před vámi objeví zpráva a na vás zbývá sledovat chyby a opravovat zranitelnosti.

Zpětná vazba

Autor je velmi milý člověk. Vždy odpovídá. Máte-li jakékoli přání nebo dotazy, napište na:
web: http://www.revision.com/ai/
e-mailem: [e-mail chráněný]
Skype: greg_zemskov

AI-Bolit – účinný skener virů a jiného škodlivého kódu na hostingu

Často dostáváme otázku – v čem spočívá jedinečnost skeneru AI-Bolit? Jak se liší od jiných podobných nástrojů pro detekci malwaru, jako jsou maldet, clamav nebo dokonce desktopové antiviry? Krátká odpověď je, že je lepší při odhalování škodlivého kódu napsaného v PHP a Perlu. Proč? Odpověď níže.

Každý den se škodlivý kód (webové shelly hackerů, zadní vrátka atd.) stává sofistikovanějším a složitějším. Kromě matení identifikátorů a šifrování kódu

implicitní volání funkcí se začalo používat všude prostřednictvím metod s volatelnými argumenty, handlery a nepřímými voláními funkcí.

Škodlivých skriptů s lineární strukturou a pevnými identifikátory je stále méně. Snaží se kód zamaskovat a udělat ho co nejvolatilnějším, „polymorfním“

nebo naopak, udělejte to co nejjednodušší a vypadají jako běžný skript.

Někdy při analýze škodlivého skriptu není možné izolovat pevný fragment, pomocí kterého by bylo možné jednoznačně identifikovat „malware“. Je zřejmé, že takový škodlivý kód nelze nalézt pomocí jednoduché databáze signatur (antivirové databáze), kterou používá drtivá většina webových antivirů a hostovaných skenerů. Pro efektivní vyhledávání moderního „malwaru“ je nutné používat sofistikovanější metody pro určování vzorů virů a v některých případech i heuristiku. Toto je přístup, který používáme ve skeneru malwaru AI-BOLIT.
Použití velké databáze neustále se zlepšujících flexibilních vzorů založených na regulárních výrazech, použití dodatečné heuristické analýzy, vyvinuté na základě skenování velkého množství infikovaných stránek, učinilo ze skeneru AI-Bolit nejúčinnější a nejaktivněji používaný nástroj pro administrátoři a weboví vývojáři.

AI-Bolit je také široce známý pro své jednoduché rozhraní a možnost bezplatného použití pro nekomerční účely. Každý webmaster si může stáhnout AI-Bolit zcela zdarma z oficiálních webových stránek http://revisium.com/ai/ a zkontrolovat svůj zdroj, zda neobsahuje skořápky hackerů, zadní vrátka, dveře, viry, odesílatele spamu, skryté odkazy a další škodlivé fragmenty a vložky. Skener aktivně využívají i komerční společnosti – webová studia, hostingové společnosti a internetové agentury ke kontrole a ošetření klientských stránek. Hosteři integrují AI-Bolit do ovládacího panelu, weboví vývojáři jej využívají k vyhledávání škodlivého kódu a ve svých vlastních službách pro monitorování stránek.

Níže je jen malý seznam funkcí skeneru Ai-Bolit:

spustit z konzole a prohlížeče
tři režimy skenování ("jednoduchý", "expertní", "paranoidní") a dva provozní režimy ("expresní" a "úplné skenování")
vyhledávat hackerské php a perl skripty (shelly, backdoors), virové vložky, doorways, spamové odesílatele, skripty pro prodej odkazů, maskovací skripty a další typy škodlivých skriptů. Vyhledávání vzorů a regulárních výrazů a použití heuristiky k identifikaci potenciálně škodlivého kódu
vyhledávání podpisů v zašifrovaných, fragmentovaných textových blocích a zakódovaných hex/oct/dec sekvencích
hledat podezřelé soubory s konstrukcemi používanými v škodlivých skriptech
hledat skryté odkazy v souborech
hledat symbolické odkazy
vyhledávací kód pro vyhledávání a mobilní přesměrování a mnoho dalšího.

Mimochodem, Ai-Bolit obdržel autorský certifikát od RosPatent. Skener je také aktivně pokryt na stránkách třetích stran, ve specializovaných časopisech, na konferencích a webinářích.

Oficiální stránka skriptů

Nepříjemné situace nás zaskočí. Někdy si někteří uživatelé na své stránky nainstalují software, který má zranitelná místa. Nebo útočníci najdou „díry“ v softwaru, který je volně distribuován. Po objevení takových „děr“ začnou hackeři zneužívat účet oběti a vkládat na stránku škodlivý programový kód, všechny druhy hackerských skořápek, zadní vrátka, rozesílání spamu a další škodlivé skripty.

Někteří uživatelé bohužel neaktualizují software na svých stránkách včas a stávají se obětí takových vetřelců.

Podstata problému

Náš serverový software ve většině případů identifikuje škodlivou zátěž a automaticky eliminuje „špatnou“ aktivitu.

Co přesně malware dělá? Velmi odlišné věci: rozesílá spam, účastní se útoků na jiné zdroje atd. Jedním z nejvýraznějších příkladů takových virů je „MAYHEM – víceúčelový bot pro servery *NIX“. Tento virus například velmi s oblibou vysvětlují specialisté Yandexu na svém blogu resp

Hostland neustále potěší své zákazníky novými antivirovými nástroji!

Představujeme vám velmi pohodlný a bezplatný nástroj pro vyhledávání virů, škodlivých a hackerských skriptů na vašem účtu, shelly založené na signaturách a flexibilních vzorech, shelly založené na jednoduché heuristice – vše, co běžné antiviry a skenery nenajdou.

Představujeme našeho uživatele "AI-Bolit" od společnosti "Revizium"

Vlastnosti skeneru AI-Bolit:

Hledejte hackerské php a perl skripty (shelly, backdoors), virové vložky, doorways, spamové odesílatele, skripty pro prodej odkazů, maskovací skripty a další typy škodlivých skriptů. Vyhledávání podle vzorů a regulárních výrazů a také použití jednoduché heuristiky k identifikaci potenciálně škodlivého kódu
Vyhledávání skriptů s kritickými chybami zabezpečení (timthumb.php, uploadify, fckeditor, phpmyadmin a další)
Hledat skripty, které nejsou typické pro stránky v php (.sh, .pl, .so atd.)
Vyhledávejte podpisy v zašifrovaných, fragmentovaných textových blocích a zakódovaných hex/oct/dec sekvencích
Hledejte podezřelé soubory s konstrukcemi používanými v škodlivých skriptech
Hledání skrytých odkazů v souborech
Hledání symbolických odkazů
Hledání kódu pro vyhledávání a mobilní přesměrování
Hledejte spojení jako auto_prepend_file/auto_append_file, AddHandler
Vyhledejte vložky iframe
Určení verze a typu cms
Hledejte skryté soubory
Vyhledejte soubory .php s dvojitými příponami, soubory .php nahrané jako obrázek GIF
Hledejte dveře a adresáře obsahující podezřele velké množství souborů php/html
Vyhledejte spustitelné binární soubory
Pohodlné filtrování a řazení seznamů souborů v sestavě
Rozhraní v ruštině

Co dalšího je důležité vědět?

Pokud byl na vašem účtu pomocí AI-Bolit nalezen škodlivý software, pak pouhé smazání těchto souborů nevyřeší zranitelnost vašeho webu.

Musíte zjistit, jak by hacker mohl vložit „špatný“ skript na váš web, najít „díru“ v jeho softwaru. Někdy je k tomu nutné změnit hesla pro přístup na FTP, aktualizovat „engine webu“, někdy je nutné prostudovat soubory protokolu serveru (pokud jsou vypnuté, zapnout je), někdy je nutné zapojit třetí - specialista na bezpečnost večírků.

A celý komplex výše uvedených opatření bude nejlepší pomocí při řešení bezpečnostního problému vašeho webu!

Není možné zaručit detekci všech škodlivých skriptů. Vývojář skeneru a poskytovatel hostingu proto nenese odpovědnost za možné důsledky falešných poplachů při provozu skeneru AI-Bolit nebo neoprávněná očekávání uživatelů ohledně funkčnosti a schopností.

Můžete posílat komentáře a návrhy k práci skriptu, stejně jako škodlivé skripty, které nebyly zjištěny [e-mail chráněný]