egy víruskereső és rosszindulatú kód egy új generáció, amelyet már webmesterek és szerveradminisztrátorok tízezrei használtak.
Vírusokat, hacker szkripteket, adathalász oldalakat, ajtókat és egyéb típusokat keres rosszindulatú szkriptek hackerek töltik le webhelyek feltörésekor.
Ha webhelyén problémák vannak, például:
- az antivírusok blokkolják a hozzáférést a webhely oldalaihoz,
- linkek jelentek meg az oldalakon
- okostelefonról vagy táblagépről történő belépéskor mobil átirányítás történik,
- a látogatottság meredeken csökkent
- a látogatók vírusokra panaszkodnak,
- blokkolt levelek tárolása spam küldésére,
- a webhelyet feltöréssel gyanúsítják
Az AI-Bolit szkenner nem kereskedelmi használatra ingyenes, bármely webmester feltöltheti a szkennert az oldalra, és ellenőrizheti az erőforrásait vírusok és hackelés szempontjából.
Az AI-Bolit sok orosz tárhelyszolgáltató ajánlja, néhányan már beépítették a szkennert a vezérlőpultba virtuális tárhely, amely lehetővé teszi a fióktulajdonos számára, hogy egy kattintással végezzen víruskeresőt.
A szkennert szakértők tervezték információ biztonság a "Revizium" cég, amely webhelyek kezelésére és hackelés elleni védelemre szakosodott.
A webhelyek fertőtlenítése és visszaállítása során a Revizium szakemberei minden nap új rosszindulatú szkripteket és kifinomultabb módszereket fedeznek fel a rosszindulatú kódok elrejtésére. Ez az információ a lapolvasó algoritmusának javítására és a szabálybázis feltöltésére szolgál, ami azt jelenti AI-Bolit szkenner minden új verzióval hatékonyabb.
Mi az egyedi az AI-Bolit szkennerben?
A modern szerveroldali rosszindulatú programkeresők gyenge oldala a rosszindulatú programok észleléséhez és a víruskereső adatbázishoz való hozzáállásuk. A szerver vírusirtói rögzített paraméterek (fájl ellenőrző összege, hash, karakterlánc-töredékek) segítségével keresik a vírus- és hackerkódokat. Ugyanakkor a modern rosszindulatú szkriptek fejlesztői megtanulták becsapni a szkennereket kódtitkosítással, így minden új példányt az előzőtől eltérően készítenek: változó obfuszkációt, végrehajtható kód titkosítást, közvetett hívásokat és egyéb megközelítéseket alkalmaznak. Ezért a víruskeresés régi módszerei leállnak. Ha korábban rendszergazda elég volt végrehajtani a parancsot
Find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST))< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc Az összes hacker shell kereséséhez ez már nem elég, mivel a hacker web shell így néz ki: És megváltoztatja a szerkezetét és a karakterlánc-ábrázolást. Hatékonyabb mechanizmusra van szükségünk a rosszindulatú kódok megtalálásához. Ezért az AI-Bolit egy kicsit más megközelítést alkalmaz. Amikor rosszindulatú kódot keres, a szkenner forráskód-előnormalizálást, reguláris kifejezés keresőmotort és heurisztikát használ. Mindezek együttesen lehetővé teszik a webhéjak és hátsó ajtók kódolt módosításainak, valamint az új, még ismeretlen vírusok és hacker szkriptek felismerését, alternatív paraméterekkel azonosítva azokat (például ha a forráskód tipikus hacker szkriptek hívását használja, a fájlok véletlenszerűen generált nevek , nem szabványos fájlattribútumok stb.). A fejlett kártevő-észlelő algoritmus lehetővé teszi az AI-Bolit szkenner számára, hogy megtalálja a polimorf jellegű titkosított töredékeket. Például ezek: A kísérletek eredményeként az AI-Bolit többszörösen mutatta a hacker szkriptek észlelését, szemben a ClamAv-vel és a MalDettel, amelyeket számos tárhelyen használnak ingyenes vírusirtó megoldásként. Hogyan működik az AI-Bolit szkenner A webhely ellenőrzéséhez elegendő feltölteni a szkennert a webhely könyvtárába (a tárhelyen vagy a helyi számítógépen a webhely biztonsági másolatával), és futtatni. A szkenner megnyitható böngészőben, vagy parancssori módban futtatható SSH-n keresztül. Ezenkívül az AI-Bolit ellenőrizheti a webhely biztonsági másolatát helyileg a számítógépén. A webhely-ellenőrzés eredménye egy részletes jelentés html vagy szöveges formátumban, amelyet automatikusan el tud küldeni e-mailben. A webhely részletes videó utasításokat és útmutatót tartalmaz kezdőknek. Biztos benne, hogy nem törték fel a webhelyét? A legtöbb webhelytulajdonos nincs tudatában annak, hogy webhelyeit feltörték, és hacker szkriptekkel töltötték fel. Ezért azt javasoljuk, hogy most azonnal ellenőrizze webhelyeit az AI-Bolit bejáróval. Ha bármilyen kérdése van a szkenner jelentéssel kapcsolatban, kérjük, küldje el nekünk a Revizium címre [e-mail védett](.zip archívum formájában), segítünk kitalálni. A szkennerfrissítéseket Twitterünkön közöljük A legnagyobb funkcionalitás akkor érhető el, ha az AI-BOLIT szkennert parancssori módban futtatja. Ez mind Windows/Unix/Mac OS X alatt, mind közvetlenül a tárhelyen megtehető, ha rendelkezik SSH hozzáféréssel, és a tárhely nem korlátozza erősen az elfogyasztott processzor erőforrásokat. Felhívjuk figyelmét, hogy a szkenner futtatásához PHP 7.1 és újabb konzolverzió szükséges. A korábbi verziók hivatalosan nem támogatottak. Ellenőrizze az aktuális verziót a php -v paranccsal Segítség megjelenítése php ai-bolit.php --help php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov Csak meghatározott kiterjesztések vizsgálata php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,gyanús,tpl Készítsen egy karanténfájlt a biztonsági szakembereknek való elküldéshez. Az AI-QUARANTINE-XXXX.zip archívum jelszóval jön létre. php ai-bolit.php --karantén Futtassa a szkennert "paranoid" módban (a legrészletesebb jelentés elkészítéséhez ajánlott) php ai-bolit.php --mode=2 php ai-bolit.php --mode=1 Ellenőrizze az egyik „pms.db” fájlt, hogy nem tartalmaz-e rosszindulatú kódot php ai-bolit.php-jpms.db Futtassa a szkennert 512 Mb memóriával php ai-bolit.php --memory=512M Állítsa be a beolvasott fájl maximális méretét 900 Kb-ra php ai-bolit.php --size=900K 500 ms szünet a fájlok között szkenneléskor (a terhelés csökkentése érdekében) php ai-bolit.php --delay=500 Szkennelési jelentés küldése e-mailben [e-mail védett] php ai-bolit.php [e-mail védett] Hozzon létre egy jelentést a /home/scanned/report_site1.html fájlban php ai-bolit.php --report=/home/scanned/report_site1.html Vizsgálja meg a /home/s/site1/public_html/ könyvtárat (a jelentés alapértelmezés szerint ebben a könyvtárban jön létre, ha a --report=report_file beállítás nincs beállítva) php ai-bolit.php --path=/home/s/site1/public_html/ Ha a vizsgálat befejeződött, hajtsa végre a parancsot. php ai-bolit.php --cmd="~/postprocess.sh" Szerezzen be egy site1.txt nevű egyszerű szöveges jelentést php ai-bolit.php-lsite1.txt A hívásokat kombinálhatja pl. php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,gyanús Ha az AI-BOLIT szkenner hívását más unix parancsokkal kombinálja, végrehajthatja például a helyek kötegelt ellenőrzését. Az alábbiakban egy példa látható egy fiókon belül tárolt több webhely ellenőrzésére. Például, ha a helyek a /var/www/user1/data/www könyvtárban találhatók, akkor a szkenner indítására szolgáló parancs a következő lesz. /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \; A --report opció hozzáadásával szabályozhatja, hogy a vizsgálati jelentések melyik könyvtárban készüljenek el. php ai-bolit.php paraméterlista ... --eng Állítsa át a jelentési felületet angolra. Ennek a paraméternek az utolsónak kell lennie. php ai-bolit.php --json_report=/path/file.json Jelentés létrehozása json formátumban php ai-bolit.php --progress=/path/progress.json Mentse el a csekk állapotát egy fájlba json formátumban. Ez a fájl strukturált adatokat tartalmaz json formátumban: az aktuális vizsgálati fájlt, hány fájlt vizsgáltak meg, hány fájlt kell még vizsgálni, a vizsgálat százalékos arányát, a vizsgálat befejezéséig eltelt időt. Ez a mechanizmus használható folyamatjelző sáv és a panelen ellenőrzött fájlok adatainak megjelenítésére. A beolvasás befejeztével a fájl automatikusan törlődik. php ai-bolit.php --handler=/path/hander.php Külső eseménykezelő. Felveheti saját kezelőit a vizsgálat indításához/leállításához/vizsgálati folyamathoz/vizsgálati hibákhoz. Példafájl található a szkenner archívumában, az tools/handler.php könyvtárban. Például a vizsgálat befejezése után valamit kezdhet a jelentésfájllal (levélben elküldheti, archívumba csomagolhatja stb.). Az interneten kerestem egy ingyenes "fizetős" témát az oldalhoz. Szerencsére van elég ilyen oldal. Igaz, egymást másolják =) Az ilyen sablonokkal való munka során szerzett tapasztalatok alapján tudtam, hogy néha teljesen ki kell fizetni egy ilyen ajándékért. Mert nagyon rossz emberek mindenféle csúnya dolgokat beszúrnak az ilyen sablonokba, ami nagyon nagy bajt okozhat a tisztességes programozóknak. Emlékszem, hogy az ESET víruskeresőm régebben megtalálta a base64-et, és megesküdött rá. Most már ő sem káromkodik. Ez azt jelenti, hogy ha ellenőrzi a vírusirtót, az nem fog segíteni. Az Ai-Bolit előtt a Total Commanderrel ellenőriztem a fájlokat bizonyos szavak tartalmáért, és attól függően, hogy mit találtam, ellenőriztem és kijavítottam. De ez nagyon fárasztó feladat. És nekiláttam egy optimálisabb és gyorsabb megoldást találni. keresési megoldás. És megtaláltam. Ez a AI-Bolit - egyedülálló ingyenes szkript vírusok, trójai programok, hátsó ajtók és hackertevékenységek észlelésére a tárhelyen. És mit tud ez a szkript: Miért van szükség erre a szkriptre? Egy tapasztalt hacker szinte minden webhelyet képes feltörni. És lehet, hogy az Ön webhelye sem kivétel. Miért veszélyes egy feltört webhely? A webhelyhez való hozzáférést követően a támadó a következőket teheti: Az Ai-Bolit lehetővé teszi, hogy időben észlelje a rosszindulatú programokat és a gyanús tárhely-módosításokat, csökkentve annak kockázatát, hogy a keresőmotorok kitiltsák a vírusokat és az ajtókat. Lehetővé teszi továbbá, hogy időben tájékozódjon a lehetséges információszivárgásokról és a webhelyével kapcsolatos egyéb problémákról. MENŐ!!! A script használata Van egy NAGYON világos utasítás a script archívumban. Alapértelmezés szerint az "orvos" normál módban szkennel, minimális számú aláírással és minimális számú téves pozitív eredménnyel. Két ellenőrzési lehetőség van. Mindkettő leírása az utasításokban található. Csak az elsőt adom meg - leegyszerűsítve. Böngésző indítási lehetőség (nem ajánlott, mivel csak expressz vizsgálatot végez) Ez minden. Ezután egy jelentés jelenik meg előtted, és csak követni kell a hibákat és kijavítani a sebezhetőséget. Visszacsatolás A szerző nagyon kedves ember. Mindig válaszol. Ha bármilyen kívánsága vagy kérdése van, írjon az alábbi címre: AI-Bolit – hatékony kereső a vírusok és más rosszindulatú kódok ellen a tárhelyen Gyakran kérdezik tőlünk – miben rejlik az AI-Bolit szkenner egyedisége? Miben különbözik más hasonló rosszindulatú programok észlelő eszközeitől, mint például a maldet, a clamav vagy akár az asztali víruskeresők? A rövid válasz az, hogy jobban észleli a PHP-ben és Perlben írt rosszindulatú kódokat. Miért? Válaszoljon alább. A rosszindulatú kódok (hacker webhéjak, hátsó ajtók stb.) minden nap kifinomultabbá és összetettebbé válnak. Az azonosítók elhomályosításán és a kódtitkosításon kívül Az implicit függvényhívásokat mindenhol elkezdték használni hívható argumentumokkal, kezelőkkel és indirekt függvényhívásokkal. Egyre kevesebb a lineáris szerkezetű, fix azonosítójú rosszindulatú szkript. Megpróbálják álcázni a kódot, és a lehető legillékonyabbá, „polimorfabbá” tenni. vagy fordítva, tegye a lehető legegyszerűbbé, és úgy nézzen ki, mint egy szokásos szkript. Néha egy rosszindulatú szkript elemzésekor lehetetlen elkülöníteni egy rögzített töredéket, amely alapján egyedileg azonosítható lenne a „rosszindulatú program”. Nyilvánvaló, hogy az ilyen rosszindulatú kódokat nem lehet megtalálni egy egyszerű aláírás-adatbázis (víruskereső adatbázis) használatával, amelyet a webes víruskeresők és hosztolt szkennerek túlnyomó többsége használ. A modern „rosszindulatú programok” hatékony kereséséhez kifinomultabb módszereket kell alkalmazni a vírusmintázatok meghatározására, és bizonyos esetekben heurisztikát is. Ezt a megközelítést alkalmazzuk az AI-BOLIT rosszindulatú programkeresőben. Az AI-Bolit széles körben ismert az egyszerű felületéről és a nem kereskedelmi célokra való ingyenes használat lehetőségéről is. Bármely webmester teljesen ingyenesen letöltheti az AI-Bolitot a hivatalos webhelyről: http://revisium.com/ai/, és ellenőrizheti, hogy az erőforrásaiban vannak-e hackerhéjak, hátsó ajtók, ajtók, vírusok, spam levelezők, rejtett hivatkozások és egyéb rosszindulatú töredékek és betétek. A szkennert kereskedelmi cégek – webstúdiók, hosting cégek és internetes ügynökségek – is aktívan használják ügyféloldalak ellenőrzésére és kezelésére. A szolgáltatók integrálják az AI-Bolit a vezérlőpultba, a webfejlesztők rosszindulatú kódok keresésére és saját webhelyfigyelő szolgáltatásaikban használják. Az alábbiakban csak egy kis lista található az Ai-Bolit szkenner funkcióiról: Hivatalos forgatókönyv oldal A kellemetlen helyzetek meglepnek bennünket. Néha egyes felhasználók olyan szoftvereket telepítenek webhelyeikre, amelyek sebezhető pontokat tartalmaznak. Vagy a támadók "lyukakat" találnak a szabadon terjesztett szoftverekben. Az ilyen "lyukak" felfedezése után a hackerek elkezdik kihasználni az áldozat fiókját, és rosszindulatú kódot, mindenféle hackerhéjat, hátsó ajtót, spam leveleket és egyéb rosszindulatú szkripteket juttatnak be az oldalra. Sajnos néhány felhasználó nem frissíti időben a szoftvert a webhelyén, és ilyen behatolók áldozataivá válnak. Szerverszoftverünk a legtöbb esetben azonosítja a káros terhelést és automatikusan kiküszöböli a "rossz" tevékenységet. Mit csinál pontosan a rosszindulatú program? Nagyon különböző dolgok: spamet küld, részt vesz más erőforrások elleni támadásokban stb. Az ilyen vírusok egyik legszembetűnőbb példája a „MAYHEM – egy többcélú bot *NIX szerverekhez”. Ezt a vírust például nagyon népszerűen magyarázzák a Yandex szakemberei a blogjukban ill A Hostland folyamatosan új vírusirtó eszközökkel kedveskedik ügyfeleinek! Bemutatunk egy nagyon kényelmes és ingyenes eszközt a vírusok, rosszindulatú és hacker szkriptek keresésére a fiókjában, aláírásokon és rugalmas mintákon alapuló shelleket, egyszerű heurisztikán alapuló shelleket - mindent, amit a hagyományos víruskeresők és szkennerek nem találnak. Bemutatjuk "AI-Bolit" felhasználónkat a "Revizium" cégtől
Ha rosszindulatú szoftvert találtak fiókjában az AI-Bolit segítségével, akkor ezeknek a fájloknak a törlése nem oldja meg webhelye sebezhetőségét. Meg kell találnia, hogyan tud egy hacker egy "rossz" szkriptet bevinni a webhelyére, "lyukat" kell találnia a szoftverében. Néha ehhez meg kell változtatni az FTP hozzáférési jelszavakat, frissíteni kell a „webhelymotort”, néha meg kell tanulmányozni a szerver naplófájljait (ha ki vannak kapcsolva, kapcsolja be), néha szükség van egy harmadik bevonására. -parti biztonsági szakember. És a fenti intézkedések teljes komplexuma a legjobb segítség webhelye biztonsági problémájának megoldásában! Nem garantálható az összes rosszindulatú szkript észlelése. Ezért a szkenner fejlesztője és tárhelyszolgáltatója nem vállal felelősséget az AI-Bolit szkenner működése során fellépő téves pozitív eredmények, illetve a funkcionalitással és képességekkel kapcsolatos indokolatlan felhasználói elvárásokért. Megjegyzéseket és javaslatokat küldhet a szkript munkájáról, valamint a nem észlelt rosszindulatú szkriptekről [e-mail védett]AI-BOLIT szkenner parancssori paraméterek hivatkozása
Integráció más szolgáltatásokkal és hosting panellel
web: http://www.revision.com/ai/
email: [e-mail védett]
Skype: greg_zemskov
A reguláris kifejezéseken alapuló, folyamatosan javuló rugalmas minták nagy adatbázisának használata, valamint a nagyszámú fertőzött oldal átvizsgálása alapján kifejlesztett további heurisztikus elemzés alkalmazása az AI-Bolit szkennert a leghatékonyabb és legaktívabban használt eszközzé tette. rendszergazdák és webfejlesztők.
Az Ai-Bolit egyébként szerzői jogi tanúsítványt kapott a RosPatenttől. A szkennerrel harmadik felek webhelyein, speciális magazinokban, konferenciákon és webináriumokon is aktívan foglalkoznak. A probléma lényege
Az AI-Bolit szkenner jellemzői:
Mit érdemes még tudni?