Сканер AI-BOLIT - поиск вирусов и хакерских скриптов

Тема в разделе "Вопросы безопасности", создана пользователем revisium, 22.07.2015.

  1. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Сканер AI-BOLIT - бесплатный скрипт, позволяющий находить вирусы и хакерские скрипты на хостинге.

    Сканер развивается уже более 5 лет и является самым эффективным из существующих инструментов для поиска веб-шеллов, бэкдоров, фишинговых страниц, спам-рассыльщиков, написанных на PHP/Perl/Python (сравнение сканеров можно посмотреть здесь и здесь).

    В каком случае использовать сканер:
    • для профилактики (проверить, нет ли на сайте зараженных тем, плагинов и не было ли взломов, о которых вы не в курсе)
    • для лечения сайта (просканировать сайт в режиме "параноидальный", по отчету удалить вредоносные скрипты, вирусы и хакерские инструменты)
    • при жалобах со стороны хостинга на спам, фишинговые страницы, повышенную нагрузку (просканировать сайт на вредоносные скрипты, далее по отчету удалить инжекты, шеллы и пр.)
    AI-BOLIT умеет:
    • искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики - все то, что обычные антивирусы и сканеры найти не могут
    • искать уязвимые скрипты timthumb, fckeditor, uploadify, и ряд других
    • искать редиректы в .htaccess на вредоносные сайты
    • искать код ссылочных бирж, таких как sape/trustlink/linkfeed/... в .php файлах
    • определять каталоги и файлы дорвеев
    • искать пустые ссылки (невидимые ссылки) в шаблонах
    • показывать директории, открытые на запись
    • работать со всеми cms без исключения (joomla, wordpress, drupal, dle, bitrix, phpbb,...)
    • отсылать отчет по email или сохранять в файл
    Скачать сканер AI-BOLIT можно на этой странице.
    Cкачать версию сканера AI-BOLIT для Windows.

    Сканер постоянно развивается, скоро будет мегаобновление с новым функциями, которые значительно расширят зону его применения.

    Полезные ссылки про AI-BOLIT:


    Вопросы по сканеру и безопасности Joomla в общем - можно задавать в этой теме. Буду рад помочь.
     
    Последнее редактирование: 13.08.2015
    draff нравится это.
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Прикрепил .Удачи нам ))
     
    revisium нравится это.
  4. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Сегодня у нас большое обновление сканера вирусов и хакерских скриптов AI-BOLIT.

    promo.png

    Мы написали обзорную статью, в которой подробно рассказали о новых возможностях (карантин, улучшенное детектирование зашифрованных "вредоносов", оптимизация сканирования, новые сниппеты в отчете, улучшенный прогресс сканирования и другое)

    https://revisium.com/kb/ai-bolit-release-20150803.html

    Статья небольшая, с картинками, поэтому будет здорово, если вы ознакомитесь с ней полностью (а затем расскажете о ней своим друзьям и знакомым :).

    В полной мере оценить новые возможности cмогут те, кто запускает AI-BOLIT из командной строки. Посмотрите новые возможности в нашем FAQ по командной строке (его можно добавить в закладки и периодически возвращаться, так как мы его будем постоянно дополнять полезными примерами).

    https://revisium.com/kb/ai-bolit-console-faq.html

    В новой версии мы добавили много актуальных сигнатур вредоносных скриптов, поэтому рекомендуем перепроверить ваши сайты новой версией сканера AI-BOLIT, даже если внешне на сайтах не наблюдается проблем.
     
  5. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Прописал параноидальный режим,
    Код (CODE):
    1. // установите 1 для режима "Эксперта", 0 для быстрой проверки и 2 для параноидальной проверки (для лечения сайта)
    2. define('AI_EXPERT_MODE', 2);

    выдает после проверки
    Как правильно ?
    Скачал айболит 11.08.2015
     
  6. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
  7. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    на любом серваке есть антивирусная, в винде тоже, вам мало онлайн проверок:
    VirusTotal — онлайн-сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами, Онлайн—сканеры Dr.Web :rolleyes:
     
  8. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Онлайн-сервисы (VirusTotal) и десктопные антивирусы (Касперский, DrWeb) не найдут больше половины современных хакерских шеллов, бэкдоров, дорвеев, спам-рассыльщиков, написанных на PHP и Perl. Они не для этого предназначены. Более того, онлайн антивирусы и сервисы не могут обнаружить хакерские скрипты на хостинге, так как эти скрипты снаружи просто не видно. Их можно обнаружить только сканируя файлы на хостинге.

    Clamav и Maldet - единственные альтернативы для поиска вредоносного кода в скриптах, но как показывает сравнение, из 100% того, что обнаруживает AI-BOLIT, Clamav может найти только 35%, а Maldet - 45%. Подробно можно почитать в этом посте. Если вас устраивает, что на сайте останется около половины хакерских скриптов и вирусов, то можно пользоваться другими решениями :)
     
  9. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    А сколько проблем, особенно когда автоматом отключение из-за ложного срабатывания.
     
  10. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    Побывал на AI-Bolit, подобная версия была уже и устанавливалась на хосте.
    Эта в винде, на мой взгляд, слишком много устанавливать, в итоге выводит много информации и пользователь будет вынужден рыскать по всем файлам.
    Не чего она не точная и не удобная, а главное, зачем на компьютере, когда можно запускать на хостае и также каждый файл просматривать.
    Только не надо мне объяснять преимущества то что якобы на хосте не правильно проверяет, для меня не аргумент.
    Насчет почитать это хорошо, еще бы понять с какой целью писали это все.
    Большинство читающих, оптимизирующих программ, не чего не чистят и не улучшают, только вредят и являются вредоносными программами.
    --- добавлено: 17.08.2015 ---
    проблемы есть, были и будут, вы то не в первый раз эту тему обсуждаете :rolleyes:
    --- добавлено: 18.08.2015, первое сообщение размещено: 17.08.2015 ---
    тут на одном сайте проверял, не буду говорить каком, так он мне выдал:
    :eek:
    --- добавлено: 18.08.2015 ---
    fdde5af633da2d11bf9c97676eeb0c5e.jpg
    зато ваша найдет лишнюю запятую в скрипте :D
     
  11. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Новая версия сканера AI-BOLIT 20160227

    Скачать можно на странице https://revisium.com/ai/

    AI-BOLIT.png

    1. Новый алгоритм работы с белым списком скриптов (то, что раньше было aknown файлами). Теперь используется один общий файл с базой данных всех известных скриптов из CMS AIBOLIT-WHITELIST.db. Для снижения числа ложных срабатываний его достаточно положить рядом с ai-bolit.php и запустить сканер командой:

    php -d short_open_tag=on ai-bolit.php .... (на случай отключенной опции short_open_tag).

    Можно запускать и просто php ai-bolit.php ..., но в этом случае нужно убедиться, что опция short_open_tag в консольной версии PHP (php.ini) файле включена.

    Скрипты из популярных CMS и плагинов уже добавлены в базу AI-BOLIT-WHITELIST.db. Сейчас в ней содержится в общей сложности более 350000 различных скриптов. База постоянно пополняется и будет включена в каждый апдейт сканера. Если каких-то плагинов или CMS в базе нет, и у вас для них возникают ложные срабатывания, вы можете прислать ссылку на дистрибутив для загрузки и мы добавим эти скрипты в базу.

    2. База вредоносных скриптов дополнена новыми шеллами, бэкдорами, спам-рассыльщиками и другим вредоносным кодом. Также дополнена база уязвимых скриптов.

    3. Исправлены ошибки конвертации файлов из кодировки UTF-16, исправлены пути в параметре addprefix/noprefix, изменены параметры memory_limit, а также реализован ряд других улучшений.

    4. Для партнеров, работающих с коммерческой версией сканера, выпускаются более частые обновления сканера и работает отдельный канал в Telegram с апдейтами.

    5. Сканер интегрирован в панель управления хостингом INFOBOX. Клиенты хостинга INFOBOX могут регулярно проверять свои сайты на вирусы и взлом прямо из панели, и отправлять нам отчеты на бесплатную диагностику (также как это делают клиенты хостингов Beget, Hostland, iHead и других).

    Бонус-треком идут ссылки на полезные материалы по безопасности:

    https://revisium.com/ru/bulletin/ - наши бюллетени заражений сайтов (информация о вредоносных скриптах, которые находятся на взломанных сайтах с описанием их функциональности и расшифровкой исходного кода)

    https://revisium.com/ru/blog/browser_infected.html - заражение сайта через инцифированный плагин браузера

    https://revisium.com/kb/hacked_again.html - почему сайты взламывают повторно

    https://revisium.com/ru/blog/cryptolocker.html - новый шифровальщик для сайтов
     
    CB9T и Alekxandr нравится это.
  12. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Новая версия сканера AI-BOLIT

    Скачать можно на странице https://revisium.com/ai/

    AI-BOLIT.png

    Сканер протестирован в том числе на версии PHP7, прирост скорости сканирования - более чем в 3 раза. То есть используя PHP7 большой сайт на Битриксе можно проверить за 3-4 минуты. Обращаю внимание, что корректная работа на версии PHP 7.0.6 и более старших.

    Изменения в версии 20160515
    - добавлены новые сигнатуры вредоносного кода и файлы "белого списка"
    - добавлены файлы с расширением .php7 и .pht в список обязательных для сканирования

    Бонус-треком анонс нашего нового веб-сканера REVIZORRO: https://rescan.pro - проверяет страницы на скрытые редиректы, недобросовестную рекламу, вирусы, дефейс и т.п. Является эффективным дополнением (не заменой) сканеру AI-BOLIT.

    Несколько свежих статей:
    * на хабре: Так ли безопасны «топовые» сайты: исследуем рейтинг Alexa
    * на SEONews.ru: Как потерять результаты поискового продвижения
     
    Alekxandr нравится это.
  13. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    readme в архиве соответствует новому движку сканера айболит?
     
  14. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Да
     
  15. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Новая версия сканера AI-BOLIT

    AI-BOLIT.png

    - Обновление вирусных баз
    - Обновление базы "белого" списка файлов (Bitrix, Wordpress, Joomla, Drupal)
    - Версия для Windows портирована на PHP7

    Ссылка на сканер: https://revisium.com/ai/

    Полезные статьи по работе со сканером Ai-BOLIT:
    - https://revisium.com/kb/ai-bolit-console-faq.html
    - https://revisium.com/kb/ai-bolit-masterclass.html
    - https://revisium.com/kb/scan_site_windows.html

    Бонус-трек по безопасности сайтов:

    https://habrahabr.ru/company/bitrix/blog/305704/ Почему взламывают даже защищенные CMS
    http://www.cossa.ru/234/134334/ Взлом сайтов по вине сотрудников и подрядчиков
    habr.ru/p/303956/ Обзор веб-сервисов для проверки сайтов на вирусы и взлом
    https://revisium.com/ru/blog/top50k_alexa.html Исследование безопасности TOP 50 000 сайтов рейтинга Alexa
    https://telegram.me/sitesecurity Канал "Безопасность сайтов" в Телеграмм
     
    Alekxandr нравится это.
  16. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Новая версия сканера находит то , что я раньше находил в ручном режиме поиском по сигнатуре с личного опыта.
    А интересует найденные скрипты руками, на которые не среагировал айболит ?
     
  17. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Да, конечно. Присылайте на ai@revisium.com, мы их добавим в базу.
    --- добавлено: 31.08.2016, первое сообщение размещено: 29.08.2016 ---
    Новую версию сканера AI-BOLIT (в том числе и под Windows) можно загрузить на странице https://revisium.com/ai/

    AI-BOLIT.png

    Обновлена база вредоносных скриптов и уменьшено число ложных срабатываний за счет пополнения базы whitelist для всех популярных CMS.

    Обращаем внимание на правильный способ запуска скрипта:

    При этом число ложных обнаружений будет меньше.
     
  18. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Ваша поддержка отписала, что присланный мною файл - вредоносный и добавлен в базу .
     
  19. revisium
    Offline

    revisium Недавно здесь

    Регистрация:
    20.07.2015
    Сообщения:
    22
    Симпатии:
    9
    Не совсем так. Мы написали, что добавим его. Все, что приходит после подготовки релизного архива включается в следующую версию. Релиз делается за 1-2 недели до анонса, чтобы прошел этап тестирования. Поэтому все, что присылают за неделю до анонса включается уже в следующую версию.
     
  20. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Мне безразлично когда вы добавите. В моем файле сигнатур я запись добавил для поиска в файлах сайта.
     

Поделиться этой страницей

Загрузка...