AI-Bolit ist fortgeschritten kostenloser Scanner Hintertüren, Hacker-Shells, Viren und Türen. Das Skript kann nach schädlichem und verdächtigem Code in Skripten suchen, Spam-Links erkennen und anzeigen CMS-Version und serversicherheitskritische Einstellungen.

Die Wirksamkeit des Scanners liegt in der Verwendung von Mustern und Heuristiken anstelle einer herkömmlichen Hash-Suche.

Geschichte der Schöpfung

IN momentan Markt für Antivirensoftware persönliche Computer extrem entwickelt: Lösungen von Kaspersky, Dr.Web, McAfee, Norton, Avast und anderen sind weithin bekannt. Mit Virenscannern und Schadcode Bei Websites sieht es nicht so rosig aus. Systemadministratoren und Websitebesitzer, die über das Problem der Suche nach bösartigem Code auf ihren Servern besorgt sind, sind gezwungen, selbst geschriebene Skripte zu verwenden, die anhand bestimmter zuvor gesammelter Fragmente nach Viren und Shells suchen. Ich tat das gleiche. Ich habe Shells, Viren, Hintertüren und Weiterleitungscodes von Client-Sites gesammelt und nach und nach eine Datenbank mit Signaturen bösartiger Codes erstellt. Und um es bequemer zu machen, habe ich ein kleines Skript in PHP geschrieben.

Nach und nach erlangte der Scanner nützliche Funktionen und schließlich wurde klar, dass er nicht nur für mich nützlich sein könnte.
Im April 2012 kündigte ich das AI-Bolit-Skript in mehreren Foren an und sechs Monate später wurde es zum Hauptwerkzeug für die Suche nach Schadcode unter Webmastern und Hosting-Administratoren. Was die zusammenfassende Statistik betrifft, wurde das Skript in anderthalb Jahren mehr als 64.000 Mal heruntergeladen. Das Drehbuch erhielt außerdem ein Urheberrechtszertifikat von Rospatent.

Scannerfunktionen

Der Hauptunterschied zwischen AI-Bolit und aktuell vorhandenen Viren- und Schadcode-Scannern auf dem Server besteht in der Verwendung von Mustern als Virensignaturen. Die Suche nach Schadcode erfolgt über eine Datenbank mit regulären Ausdrücken und nicht über einen Hash oder Prüfsummen, sodass Sie sogar geänderte und verschleierte Shells erkennen können, die in CMS-Vorlagen oder -Skripts eingefügt wurden.

Der Scanner kann im Schnellscanmodus (nur für PHP-, HTML-, JS-, htaccess-Dateien) und im „Expertenmodus“ arbeiten und Verzeichnisse und Dateien per Maske ausschließen. Es verfügt außerdem über eine große Datenbank mit CRC-Whitelists beliebter CMS, wodurch die Anzahl falsch positiver Ergebnisse erheblich reduziert wird.

Derzeit enthält die Scannerdatenbank mehr als 700 Signaturen bösartige Skripte. Signaturen sind reguläre Ausdrücke, mit denen Sie beispielsweise verschleierte Shells und Hintertüren finden können, die weder LMD mit ClamAV noch Desktop-Antivirenprogramme finden:

Die Signaturdatenbank wird regelmäßig mit neuen Mustern aktualisiert, die sowohl von Experten von Revision als auch von Benutzern des Skripts gefunden wurden, sodass Sie den Scanner auf dem neuesten Stand halten können.

AI-Bolit-Schnittstelle

Die AI-Bolit-Schnittstelle ist sehr einfach. Dies ist ein PHP-Skript, das ausgeführt werden kann Befehlszeileüber PHP CLI oder öffnen Sie es in einem Browser mit der URL http://site/ai-bolit.php?p=password.

Das Ergebnis des Skripts ist ein Bericht, der aus vier Abschnitten besteht:

1. Statistiken und allgemeine Informationen zum Skript.
2. Roter Abschnitt kritischer Kommentare mit einer Liste der gefundenen Shells, Viren und anderen Schadcodes (oder Fragmente, die Schadcode ähneln).
3. Orangefarbener Warnbereich (verdächtige Codefragmente, die häufig in Hacking-Tools verwendet werden).
4. Blauer Abschnitt mit Empfehlungen (Liste der zum Schreiben geöffneten Verzeichnisse, PHP-Einstellungen usw.).

Der Benutzer analysiert den empfangenen Bericht durch Anzeigen von Snippets, findet und entfernt bösartige Skripte und Codefragmente manuell mithilfe von Befehlszeilentools oder Programmen zum Suchen und Ersetzen von Zeichenfolgen in Dateien.

Das Hauptproblem, mit dem ein Virenscanner-Entwickler normalerweise konfrontiert ist, besteht darin, den goldenen Mittelwert zwischen der „Paranoidität“ (Empfindlichkeit) des Scanners und der Anzahl falsch positiver Ergebnisse zu finden. Wenn Sie zur Suche nach Schadcode nur feste Zeichenfolgen verwenden, sinkt die Effizienz des Scanners, da verschleierte Fragmente, Code mit Leerzeichen und Tabulatoren oder geschickt formatierter Code nicht gefunden werden. Wenn Sie nach flexiblen Mustern suchen, besteht eine hohe Wahrscheinlichkeit falsch positiver Ergebnisse, wenn garantiert sichere Skripte als bösartig markiert werden.

Bei AI-Bolit entscheide ich dieses Problem durch die Verwendung von zwei Betriebsmodi („Normal“/„Experte“) und Whitesheets für bekannte CMS.

Die Zukunft von AI-Bolit

Die Entwicklungspläne des Skripts umfassen eine Vielzahl nützlicher Funktionen und die Integration mit anderen Antivirenlösungen. Ein von Schlüsselpunkte ist die Integration von AI-Bolit mit ClamAV- und LMD-Datenbanken. Auf diese Weise kann AI-BOLIT anhand von Prüfsummen nach Rootkits und Shells suchen.

Der zweite wichtige Punkt in der Warteschlange für die Umsetzung ist Benutzerfreundliches Bedienfeld zur Analyse tabellarischer Berichte mit Suche und flexiblen Filtern. Es wird möglich sein, gefundene Dateien nach Erweiterung herauszufiltern, nach Größe, Prüfsumme usw. zu sortieren.

Der dritte Punkt ist die Implementierung des asynchronen Scannens mit AJAX, wodurch das Problem des Scannens von Websites gelöst wird, die auf schwachen Hostings gehostet werden, die eine begrenzte CPU-Auslastung oder Skriptlaufzeit haben. Dies kann derzeit nur dadurch gelöst werden, dass eine Kopie der Website lokal oder auf einem anderen, leistungsstärkeren Server gescannt wird. Und natürlich ständige Aktualisierungen der Datenbanken mit Schadcode-Signaturen.

Abschließend

Der Skriptcode ist offen und auf GitHub veröffentlicht, sodass jeder zur Entwicklung beitragen kann dieses Projekts. Senden Sie mir Ihre Anregungen und Wünsche an [email protected].

Es liegt eine problematische Situation vor – eine Website mit Viren.

Jetzt werde ich zeigen, wie dieser Virus leicht gefunden und zerstört werden kann. Als Erstes müssen Sie die Site in das Gebietsschema herunterladen – es ist viel einfacher, eine Reihe von Dateien zu überprüfen.

Dieser Text stammt aus der Videobeschreibung und ist daher etwas chaotisch und langweilig. Der Rest meiner Schriften)

Wir werden Filezilla herunterladen. Ich werde direkt auf den installierten lokalen Server herunterladen - Öffnen Sie den Server– Um lokal laufen zu können, wird es plötzlich benötigt.

Wenn Sie ein Antivirenprogramm installiert haben, das Dateien im Handumdrehen scannt, besteht die Möglichkeit, dass Sie in einigen Dateien sogar während des Downloads Viren finden. Schauen Sie in die Protokolle meines Antivirenprogramms.

In meinem Fall zeigte mein Microsoft Security nichts an – der Virus war ihm unbekannt.

Für die Suche verwende ich ein spezielles Antivirenprogramm – Aibolit. Entwickler-Website http://revisium.com/ai/
Ich rate Ihnen, vorbeizukommen und sich das Seminar anzuschauen. Die Dateien werden noch heruntergeladen, es wird lange dauern. Ich habe bereits eine lokale Kopie bereit, ich habe gestern mit diesem Antivirenprogramm gespielt.

Für die Arbeit benötigen wir also noch PHP für Windows. Hier herunterladen http://windows.php.net/download/ letzte Version für Windows im ZIP-Archiv. Packen Sie an einem Ort aus, an dem Sie sich wohl fühlen.

OK. Die Vorbereitungen sind abgeschlossen. Jetzt geht es an die Arbeit.

Laden Sie das Archiv mit iBolit herunter.

Darin befinden sich drei Ordner:

• ai-bolit ist der eigentliche Kern des Antivirenprogramms
• bekannte_Dateien – Versionen von Antiviren-Dateidatenbanken für verschiedene Engines
• Werkzeuge – Hilfsprogramm.

Beginnen wir also mit der Virenbekämpfung der Website.

1. Kopieren Sie alle Dateien aus dem ai-bolit-Ordner in das Stammverzeichnis der Site
2. Wenn wir wissen, welche Engine wir haben, wählen wir den Ordner mit unserem CMS im Ordner „known_files“ aus und legen alle Dateien im Stammverzeichnis ab. In meinem Fall die WordPress-Engine, dann werden wir Viren mit Antiviren-Datenbanken für WordPress behandeln. Wenn Sie alles im Allgemeinen überprüfen möchten, können Sie die Antiviren-Datenbanken aller Engines ausfüllen - vielleicht finden Sie dort noch etwas)
3. Ich habe es wieder vergessen - Sie müssen den Expertenbetriebsmodus in den iBolit-Einstellungen angeben. Dafür TexteditorÖffnen Sie die Datei ai-bolit.php und suchen Sie die Zeile define(‘AI_EXPERT’, 0); Ändern Sie „0“ auf „1“ und fertig – der Expertenmodus ist aktiviert.
4. Jetzt müssen wir unser Zip-Archiv mit PHP in einen Ordner entpacken, in dem wir bequem damit arbeiten können. Wir brauchen eine Datei - php.exe
5. Jetzt müssen wir die ausführbare Datei unseres Antivirenprogramms ausführen. Doppelklicken Sie dazu auf ai-bolit.php. Ich habe bereits die Wahl, wie ich dieses Skript ausführen möchte.

Ich würde empfehlen, nur den Upload-Ordner und Ihren Theme-Ordner aufzubewahren. Alle Plugins werden heruntergeladen, die Einstellungen bleiben in der Datenbank – Viren greifen sie nicht an. Überprüfen Sie manuell alle Dateien des Themes – glücklicherweise sind nicht viele davon vorhanden, wenn die Site nicht von einem ungeschickten Layouter gestaltet wurde. Und alles andere im Motor auffüllen. Dies ist der zuverlässigste Weg.

Und ich erinnere Sie auch daran, dass Sie höchstwahrscheinlich Viren in Ihrem gesamten Hosting-Konto haben (sehr selten gelingt es ihnen, zwischen den Konten verschiedener Benutzer zu wechseln, nur wenn der Hosting-Administrator eine korrupte Person ist).

Wenn iBolit aus irgendeinem Grund von der Website entfernt wird, können Sie jederzeit das Antivirenprogramm für die Website von mir herunterladen

Viren sind traurig(

PS: Zwei Artikel zum Bereinigen bereits gefundener Viren:

• Einfacher – So entfernen Sie selbst kostenlos einen Virus von einer Website
• Für Fortgeschrittene -

Unangenehme Situationen überraschen uns. Manchmal installieren einige Benutzer auf ihren Websites Software, die Schwachstellen aufweist. Oder Angreifer finden „Löcher“ darin Software, das frei verteilt wird. Nachdem Hacker solche „Lücken“ entdeckt haben, beginnen sie, das Konto des Opfers auszunutzen und schädliche Inhalte einzuschleusen Programmcode, alle Arten von Hacker-Shells, Hintertüren, Spam-Versendern und anderen bösartigen Skripten.

Leider aktualisieren einige Benutzer die Software auf ihren Websites nicht rechtzeitig und werden Opfer solcher Angreifer

Der Kern des Problems

Unsere Serversoftware erkennt in den meisten Fällen die schädliche Last und beseitigt automatisch die „schlechte“ Aktivität.

Was genau macht Malware? Ganz unterschiedliche Dinge: Versendet Spam, beteiligt sich an Angriffen auf andere Ressourcen usw. Eines der auffälligsten Beispiele für solche Viren ist „MAYHEM – ein Mehrzweck-Bot für *NIX-Server“. Beispielsweise erklären Yandex-Spezialisten diesen Virus sehr häufig in ihrem Blog oder

Hostland erfreut seine Kunden ständig mit neuen Tools zur Virenbekämpfung!

Wir präsentieren Ihnen ein sehr praktisches und kostenloses Tool zum Suchen nach Viren, Schad- und Hacker-Skripten in Ihrem Konto, Shells basierend auf Signaturen und flexiblen Mustern, Shells basierend auf einfachen Heuristiken – alles, was normale Antivirenprogramme und Scanner nicht finden können.

Wir stellen unseren Benutzer „AI-Bolit“ von der Firma „Revision“ vor

AI-Bolit-Scannerfunktionen:

• Suchen Sie nach Hacker-PHP- und Perl-Skripten (Shells, Backdoors), Vireneinfügungen, Doorways, Spam-Absendern, Link-Selling-Skripten, Cloaking-Skripten und anderen Arten von bösartigen Skripten. Suche nach Vorlagen und Reguläre Ausdrücke sowie die Verwendung einfacher Heuristiken zur Identifizierung potenziell schädlichen Codes
• Suchen Sie nach Skripten mit kritischen Schwachstellen (timthumb.php, uploadify, fckeditor, phpmyadmin und andere)
• Suchen Sie nach Skripten, die für PHP-Sites nicht typisch sind (.sh, .pl, .so usw.)
• Suchen Sie nach Signaturen in verschlüsselten, fragmentierten Textblöcken und hexadezimal/okt/dez-kodierten Sequenzen
• Suchen Sie nach verdächtigen Dateien mit Strukturen, die in bösartigen Skripten verwendet werden
• Versteckte Links in Dateien finden
• Symbolische Links finden
• Suchen Sie nach Code für die Suche und mobile Weiterleitungen
• Suchen Sie nach Verbindungen wie auto_prepend_file/auto_append_file, AddHandler
• Suchen Sie nach Iframe-Einfügungen
• Bestimmen der CMS-Version und des CMS-Typs
• Suchen versteckte Dateien
• Suchen. PHP-Dateien mit doppelten Erweiterungen, .php-Dateien, hochgeladen als GIF-Bilder
• Suchen Sie nach Eingängen und Verzeichnissen, die eine verdächtig große Anzahl von PHP/HTML-Dateien enthalten
• Ausführbare Binärdateien finden
• Komfortables Filtern und Sortieren von Dateilisten im Bericht
• Schnittstelle auf Russisch

Was ist sonst noch wichtig zu wissen?

Wenn mithilfe von AI-Bolit Schadsoftware auf Ihrem Konto gefunden wurde, wird das einfache Löschen dieser Dateien das Problem der Schwachstelle Ihrer Website nicht lösen.

Sie müssen herausfinden, wie es dem Hacker gelungen ist, ein „schlechtes“ Skript in Ihre Website einzufügen und eine „Lücke“ in seiner Software zu finden. Manchmal ist es erforderlich, die FTP-Zugriffskennwörter zu ändern, die Site-Engine zu aktualisieren, manchmal ist es notwendig, die Serverprotokolldateien zu studieren (wenn sie deaktiviert sind, aktivieren Sie sie), manchmal müssen Sie einen Sicherheitsspezialisten eines Drittanbieters hinzuziehen.

Und der gesamte Komplex der oben genannten Maßnahmen wird die beste Hilfe bei der Lösung des Sicherheitsproblems Ihrer Website sein!

Es kann nicht garantiert werden, dass alle schädlichen Skripte erkannt werden. Daher ist der Scanner-Entwickler und Hosting-Anbieter nicht verantwortlich für die möglichen Folgen falsch positiver Ergebnisse während des Betriebs des AI-Bolit-Scanners oder ungerechtfertigter Benutzererwartungen hinsichtlich Funktionalität und Fähigkeiten.

Sie können Kommentare und Vorschläge zur Funktionsweise des Skripts sowie alle unentdeckten bösartigen Skripte an senden [email protected].

ist ein Viren- und Malware-Scanner der neuen Generation, der bereits von Zehntausenden Webmastern und Serveradministratoren verwendet wird.

Es sucht nach Viren, Hacker-Skripten, Phishing-Seiten, Doorways und anderen Arten von bösartigen Skripten, die von Hackern heruntergeladen werden, wenn Websites gehackt werden.

Wenn Ihre Website Probleme hat, zum Beispiel:

• Antivirenprogramme blockieren den Zugriff auf Website-Seiten,
• Auf den Seiten erschienen Links anderer Personen
• Bei der Anmeldung über ein Smartphone oder Tablet erfolgt eine mobile Weiterleitung.
• Die Besucherzahlen gingen stark zurück
• Besucher beschweren sich über Viren,
• Hosten blockierter E-Mails zum Versenden von Spam,
• Es besteht der Verdacht, dass die Seite gehackt wurde

Der AI-Bolit-Scanner ist für die nichtkommerzielle Nutzung kostenlos; jeder Webmaster kann den Scanner auf die Website hochladen und seine Ressource auf Viren und Hacking überprüfen.

AI-Bolit wird von vielen russischen Hosting-Anbietern empfohlen, einige von ihnen haben bereits einen Scanner in ihr Control Panel eingebaut virtuelles Hosting, wodurch der Kontoinhaber mit einem Klick einen Antivirenscan durchführen kann.

Der Scanner wurde von Experten entwickelt Informationssicherheit Revisionsunternehmen, spezialisiert auf Website-Bearbeitung und Hacking-Schutz.

Jeden Tag entdecken Revizium-Spezialisten bei der Behandlung und Wiederherstellung von Websites neue Schadskripte und ausgefeiltere Möglichkeiten, Schadcode zu verbergen. Diese Informationen werden verwendet, um den Algorithmus des Scanners anzupassen und die Regelbasis aufzufüllen, wodurch der AI-Bolit-Scanner mit jeder neuen Version effektiver wird.

Was ist das Besondere am AI-Bolit-Scanner?

Die Schwäche moderner serverbasierter Malware-Scanner liegt in ihrem Ansatz zur Erkennung von Malware und ihrer Antiviren-Basis. Server-Antivirenprogramme suchen mithilfe fester Parameter (Dateiprüfsumme, Hash, Zeichenfolgenfragmente) nach Viren und Hackercode. Gleichzeitig haben Entwickler moderner Schadskripte gelernt, Scanner durch Codeverschlüsselung zu täuschen, sodass sich jede neue Kopie von der vorherigen unterscheidet: Sie verwenden Variablenverschleierung, Verschlüsselung ausführbaren Codes, indirekte Aufrufe und andere Ansätze. Daher funktionieren alte Methoden zur Virensuche nicht mehr. Wenn früher Systemadministrator es reichte aus, den Befehl auszuführen

Suchen Sie -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST)< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

Um nach allen Hacker-Shells zu suchen, reicht dies nun nicht mehr aus, da eine Hacker-Web-Shell so aussieht:

Und es ändert seine Struktur und String-Darstellung.

Wir brauchen einen effizienteren Mechanismus zur Suche nach Schadcode. Daher verfolgt AI-Bolit einen etwas anderen Ansatz.

Bei der Suche nach Schadcode nutzt der Scanner eine vorläufige Normalisierung des Quellcodes, eine Suchmaschine für reguläre Ausdrücke und heuristische Regeln. All dies zusammen ermöglicht es, verschlüsselte Modifikationen von Web-Shells und Hintertüren sowie neue, noch unbekannte Viren und Hacker-Skripte zu erkennen und sie anhand alternativer Parameter zu identifizieren (z. B. wenn der Quellcode für Hacker-Skripte typische Aufrufe verwendet, die Dateien). haben zufällig generierte Namen, durch nicht standardmäßige Dateiattribute usw.). Durch die Verwendung eines fortschrittlichen Malware-Erkennungsalgorithmus kann der AI-Bolit-Scanner verschlüsselte Fragmente polymorpher Natur finden. Zum Beispiel diese:

Als Ergebnis der Experimente zeigte AI-Bolit eine deutlich höhere Erkennung von Hacker-Skripten als ClamAv und MalDet, die auf vielen Hosting-Sites als kostenlose Antivirenlösungen eingesetzt werden.

So funktioniert der AI-Bolit-Scanner

Um eine Site zu überprüfen, laden Sie einfach den Scanner in das Site-Verzeichnis herunter (auf dem Hosting oder auf einem lokalen Computer mit einem Site-Backup) und führen Sie ihn aus. Der Scanner kann in einem Browser geöffnet oder im Befehlszeilenmodus über SSH gestartet werden. Darüber hinaus kann AI-Bolit die Sicherungskopie der Site lokal auf Ihrem Computer überprüfen.

Das Ergebnis eines Site-Audits ist ein detaillierter Bericht im HTML- oder Textformat, der automatisch per E-Mail versendet werden kann.

Auf der Website finden Sie ausführliche Videoanleitungen und eine Anleitung für Anfänger.

Sind Sie sicher, dass Ihre Website nicht gehackt wurde?

Die meisten Websitebesitzer wissen nicht, dass ihre Websites gehackt wurden und dass Hacker-Skripte auf sie geladen wurden. Daher empfehlen wir Ihnen, Ihre Standorte bereits jetzt mit dem AI-Bolit-Scanner zu überprüfen. Wenn Sie Fragen zum Scannerbericht haben, senden Sie ihn an „Revision“ an [email protected] (in Form eines .zip-Archivs). Wir helfen Ihnen, ihn zu verstehen.

Scanner-Updates werden auf unserem Twitter angekündigt