AI-Bolit پیشرفته است اسکنر رایگاندرهای پشتی، پوسته های هکرها، ویروس ها و درگاه ها. اسکریپت می تواند کدهای مخرب و مشکوک را در اسکریپت ها جستجو کند، پیوندهای هرزنامه را شناسایی کند، نمایش دهد نسخه CMSو تنظیمات امنیتی سرور.

اثربخشی اسکنر به جای جستجوی هش مرسوم، در استفاده از الگوها و اکتشافات نهفته است.

تاریخچه خلقت

که در در حال حاضربازار نرم افزار آنتی ویروس برای کامپیوترهای شخصیبسیار توسعه یافته: راه حل های Kaspersky، Dr.Web، McAfee، Norton، Avast و دیگران به طور گسترده ای شناخته شده اند. با اسکنر ویروس و کد مخرببرای وب‌سایت‌ها، همه چیز چندان خوشگل نیست. مدیران سیستم و صاحبان وب‌سایت‌ها که نگران مشکل جستجوی کدهای مخرب در سرورهای خود هستند، مجبور هستند از اسکریپت‌های نوشته شده خانگی استفاده کنند که با استفاده از قطعات خاصی که قبلاً جمع‌آوری شده‌اند، ویروس‌ها و پوسته‌ها را جستجو می‌کنند. من هم همینکار را انجام دادم. پوسته‌ها، ویروس‌ها، درهای پشتی و کدهای تغییر مسیر را از سایت‌های مشتری جمع‌آوری کردم و به تدریج پایگاه داده‌ای از امضاهای کد مخرب را تشکیل دادم. و برای اینکه استفاده از آن راحت باشد، یک اسکریپت کوچک در PHP نوشتم.

به تدریج، اسکنر عملکرد مفیدی پیدا کرد و در نهایت مشخص شد که می تواند نه تنها برای من مفید باشد.
در آوریل 2012، من اسکریپت AI-Bolit را در چندین فروم اعلام کردم و شش ماه بعد این اسکریپت به ابزار اصلی برای جستجوی کدهای مخرب در بین وب مسترها و مدیران هاست تبدیل شد. در مورد آمار خلاصه، در یک سال و نیم فیلمنامه بیش از 64 هزار بار دانلود شد. این فیلمنامه همچنین گواهی حق چاپ را از Rospatent دریافت کرد.

ویژگی های اسکنر

تفاوت اصلی بین AI-Bolit و اسکنرهای ویروس و کد مخرب موجود در سرور، استفاده از الگوها به عنوان امضای ویروس است. جستجوی کدهای مخرب با استفاده از یک پایگاه داده از عبارات منظم، به جای هش یا چک‌جمع، انجام می‌شود، که به شما امکان می‌دهد حتی پوسته‌های تغییر یافته و مبهم درج شده در قالب‌ها یا اسکریپت‌های CMS را شناسایی کنید.

این اسکنر می‌تواند در حالت اسکن سریع (فقط برای فایل‌های PHP، HTML، JS، htaccess)، در حالت «expert» کار کند و فهرست‌ها و فایل‌ها را با ماسک حذف کند. همچنین دارای یک پایگاه داده بزرگ از لیست های سفید CRC از CMS های محبوب است که به طور قابل توجهی تعداد موارد مثبت کاذب را کاهش می دهد.

در حال حاضر، پایگاه داده اسکنر شامل بیش از 700 امضا است اسکریپت های مخرب. امضاها عبارات منظمی هستند که به شما امکان می‌دهند، به عنوان مثال، پوسته‌های مبهم و درهای پشتی را پیدا کنید که نه LMD با ClamAV و نه حتی آنتی ویروس‌های دسکتاپ پیدا می‌کنند:

پایگاه داده امضا به طور مرتب با نمونه های جدیدی که هم توسط کارشناسان Revision و هم توسط کاربران اسکریپت یافت می شود به روز می شود که به شما امکان می دهد اسکنر را به روز نگه دارید.

رابط AI-Bolit

رابط AI-Bolit بسیار ساده است. این یک اسکریپت PHP است که می تواند در آن اجرا شود خط فرماناز طریق PHP CLI یا در یک مرورگر با URL http://site/ai-bolit.php?p=password باز کنید.

نتیجه اسکریپت گزارشی است شامل چهار بخش:

1. آمار و اطلاعات کلی در مورد فیلمنامه.
2. بخش قرمز نظرات انتقادی با لیستی از پوسته‌های یافت شده، ویروس‌ها و سایر کدهای مخرب (یا قطعاتی شبیه به کد مخرب).
3. بخش هشدار نارنجی (قطعات کد مشکوک که اغلب در ابزارهای هک استفاده می شود).
4. بخش آبی توصیه ها (لیست دایرکتوری های باز شده برای نوشتن، تنظیمات PHP و غیره).

کاربر گزارش دریافتی را با مشاهده قطعه‌ها تجزیه و تحلیل می‌کند، اسکریپت‌های مخرب و قطعات کد را به صورت دستی با استفاده از ابزارهای خط فرمان یا برنامه‌هایی برای جستجو و جایگزینی رشته‌ها در فایل‌ها پیدا و حذف می‌کند.

مشکل اصلی که معمولاً یک توسعه دهنده اسکنر ویروس با آن مواجه است، یافتن میانگین طلایی بین "پارانوئیدی" (حساسیت) اسکنر و تعداد موارد مثبت کاذب است. اگر فقط از رشته‌های ثابت برای جستجوی کدهای مخرب استفاده می‌کنید، کارایی اسکنر پایین می‌آید، زیرا قطعات مبهم، کد با فاصله‌ها و برگه‌ها یا کدهای قالب‌بندی شده هوشمندانه پیدا نمی‌شوند. اگر با الگوهای منعطف جستجو کنید، زمانی که اسکریپت‌های ایمن تضمین‌شده به‌عنوان مخرب علامت‌گذاری می‌شوند، احتمال مثبت کاذب زیادی وجود دارد.

در AI-Bolit من تصمیم می‌گیرم این مشکلبا استفاده از دو حالت عملیاتی ("نرمال"/"کارشناس") و صفحات سفید برای CMS معروف.

آینده AI-Bolit

برنامه های توسعه اسکریپت شامل تعداد زیادی ویژگی مفید و ادغام با سایر راه حل های آنتی ویروس است. یکی از امتیاز کلیدیادغام AI-Bolit با پایگاه های داده ClamAV و LMD است. به این ترتیب، AI-BOLIT می‌تواند با استفاده از چک‌سام‌ها، روت‌کیت‌ها و پوسته‌ها را جستجو کند.

دومین مورد مهم در صف اجرا این است رابط کاربر پسندبرای تجزیه و تحلیل گزارش های جدولی با جستجو و فیلترهای انعطاف پذیر. فیلتر کردن فایل‌های یافت شده بر اساس پسوند، مرتب‌سازی بر اساس اندازه، جمع‌بندی‌ها و غیره امکان‌پذیر خواهد بود.

نکته سوم اجرای اسکن ناهمزمان با استفاده از AJAX است که مشکل اسکن سایت های میزبانی شده بر روی هاست های ضعیف که مصرف CPU یا زمان اجرای اسکریپت محدودی دارند را حل می کند. در حال حاضر، این مشکل تنها با اسکن یک کپی از سایت به صورت محلی یا روی سرور قدرتمندتر دیگر قابل حل است. و البته، به روز رسانی مداوم پایگاه های داده امضای کد مخرب.

سرانجام

کد اسکریپت باز است، در GitHub پست شده است، بنابراین هر کسی می تواند در توسعه مشارکت کند از این پروژه. پیشنهادات و خواسته های خود را برای من ارسال کنید [ایمیل محافظت شده].

یک وضعیت مشکل ساز وجود دارد - سایتی با ویروس.

حالا من نشان خواهم داد که چگونه می توان این ویروس را به راحتی پیدا کرد و از بین برد. اولین کاری که باید انجام دهید این است که سایت را در محلی دانلود کنید - بررسی مجموعه ای از فایل ها بسیار ساده تر است.

این متن از توضیحات ویدیو است، بنابراین کمی آشفته و کسل کننده است. با این حال، بقیه نوشته های من)

فایل زیلا را دانلود خواهیم کرد. من مستقیماً به سرور محلی نصب شده دانلود خواهم کرد - سرور را باز کنید- برای اینکه بتوانید به صورت محلی اجرا کنید، به طور ناگهانی مورد نیاز است.

اگر یک آنتی ویروس نصب کرده اید که فایل ها را به سرعت اسکن می کند، این احتمال وجود دارد که حتی در حین دانلود، ویروس ها را در برخی از فایل ها پیدا کنید. به لاگ آنتی ویروس من نگاه کنید.

در مورد من، امنیت مایکروسافت من چیزی نشان نداد - ویروس برای آن ناشناخته بود.

برای جستجو، از یک آنتی ویروس ویژه - Aibolit استفاده خواهم کرد. وب سایت توسعه دهنده http://revisium.com/ai/
به شما توصیه می کنم بیایید و سمینار را تماشا کنید. فایل ها هنوز در حال دانلود هستند، زمان زیادی طول می کشد. من قبلا یک نسخه محلی آماده دارم، دیروز داشتم با این آنتی ویروس بازی می کردم.

بنابراین، برای کار ما هنوز به php برای ویندوز نیاز داریم. از اینجا دانلود کنید http://windows.php.net/download/ آخرین نسخهبرای ویندوز در آرشیو zip. بسته بندی را در جایی که احساس راحتی می کنید باز کنید.

خوب. مقدمات به پایان رسیده است. حالا سر کار

آرشیو را با iBolit دانلود کنید.

سه پوشه داخلش هست:

• ai-bolit هسته واقعی آنتی ویروس است
• Known_files – نسخه های پایگاه داده فایل های ضد ویروس برای موتورهای مختلف
• ابزار - ابزار کمکی.

بنابراین، بیایید شروع به درمان سایت برای ویروس ها کنیم.

1. تمام فایل ها را از پوشه ai-bolit در ریشه سایت کپی کنید
2. اگر بدانیم چه موتوری داریم، پوشه ای را با CMS خود در پوشه Known_files انتخاب می کنیم و همه فایل ها را در root قرار می دهیم. در مورد من، موتور وردپرس، سپس ما ویروس ها را با پایگاه داده های آنتی ویروس برای وردپرس درمان خواهیم کرد. اگر می خواهید همه چیز را به طور کلی بررسی کنید، می توانید پایگاه داده های آنتی ویروس را از همه موتورها پر کنید - شاید چیزی بیشتر پیدا کند)
3. دوباره فراموش کردم - شما باید حالت کار متخصص را در تنظیمات iBolit مشخص کنید. برای این ویرایشگر متنفایل ai-bolit.php را باز کنید و خط define را بیابید('AI_EXPERT', 0); "0" را به "1" تغییر دهید و تمام - حالت متخصص روشن است.
4. اکنون باید آرشیو فشرده خود را با php در پوشه ای باز کنیم که کار با آن راحت باشد. ما به یک فایل نیاز داریم - php.exe
5. حال باید فایل اجرایی آنتی ویروس خود را اجرا کنیم. برای این کار روی ai-bolit.php دوبار کلیک کنید. من قبلاً یک انتخاب برای نحوه اجرای این اسکریپت دارم.

من توصیه می کنم فقط پوشه آپلودها و پوشه تم خود را نگه دارید. همه افزونه ها دانلود می شوند، تنظیمات در پایگاه داده باقی می مانند - ویروس ها آنها را لمس نمی کنند. تم را به صورت دستی بررسی کنید همه فایل ها - خوشبختانه تعداد زیادی از آنها وجود ندارد، اگر سایت توسط یک طراح طرح بندی ناشیانه طراحی نشده باشد. و هر چیز دیگری را در موتور پر کنید. این مطمئن ترین راه است.

و همچنین به شما یادآوری می کنم که به احتمال زیاد در کل حساب میزبانی خود ویروس دارید (بسیار به ندرت موفق می شوند بین حساب های کاربران مختلف پرش کنند، فقط در صورتی که مدیر هاست یک فرد کلاهبردار باشد.)

اگر به دلایلی iBolit از سایت حذف شد، همیشه می توانید آنتی ویروس سایت را از من دانلود کنید

ویروس ها غمگین هستند(

PS: دو مقاله در مورد نحوه تمیز کردن ویروس های از قبل یافت شده:

• ساده تر - چگونه خودتان به صورت رایگان ویروس را از یک وب سایت حذف کنید
• برای پیشرفته -

موقعیت های ناخوشایند ما را غافلگیر می کند. گاهی اوقات، برخی از کاربران نرم افزاری را در وب سایت خود نصب می کنند که دارای آسیب پذیری است. یا مهاجمان "سوراخ" را در آن پیدا می کنند نرم افزار، که به صورت رایگان توزیع می شود. پس از کشف چنین "حفره هایی"، هکرها شروع به سوء استفاده از حساب قربانی و معرفی موارد مضر می کنند کد برنامه، انواع پوسته های هکرها، درهای پشتی، فرستنده های هرزنامه و سایر اسکریپت های مخرب.

متاسفانه برخی از کاربران نرم افزارهای سایت خود را به موقع آپدیت نمی کنند و قربانی چنین مهاجمانی می شوند

اصل مسئله

نرم افزار سرور ما در بیشتر موارد بار مضر را شناسایی می کند و به طور خودکار فعالیت "بد" را حذف می کند.

بدافزار دقیقا چه کاری انجام می دهد؟ چیزهای بسیار متفاوت: ارسال هرزنامه، شرکت در حملات به منابع دیگر و غیره... یکی از نمونه‌های بارز این گونه ویروس‌ها «MAYHEM - یک ربات چند منظوره برای سرورهای *NIX» است. به عنوان مثال، متخصصان Yandex بسیار محبوب این ویروس را در وبلاگ خود توضیح می دهند یا

Hostland به طور مداوم مشتریان خود را با ابزارهای جدید برای مبارزه با ویروس ها خشنود می کند!

ما یک ابزار بسیار راحت و رایگان برای جستجوی ویروس‌ها، اسکریپت‌های مخرب و هکر در حساب شما، پوسته‌های مبتنی بر امضا و الگوهای انعطاف‌پذیر، پوسته‌های مبتنی بر اکتشافی ساده - همه چیزهایی که آنتی ویروس‌ها و اسکنرهای معمولی نمی‌توانند پیدا کنند، به شما ارائه می‌کنیم.

ما کاربر خود "AI-Bolit" را از شرکت "Revision" معرفی می کنیم.

قابلیت های اسکنر AI-Bolit:

• اسکریپت‌های php و perl هکر (شل‌ها، درهای پشتی)، درج‌های ویروس، درگاه‌ها، فرستنده‌های هرزنامه، اسکریپت‌های فروش لینک، اسکریپت‌های پنهان‌سازی و سایر انواع اسکریپت‌های مخرب را جستجو کنید. جستجو بر اساس قالب و عبارات با قاعدهو همچنین استفاده از اکتشافی ساده برای شناسایی کدهای بالقوه مخرب
• جستجوی اسکریپت‌هایی با آسیب‌پذیری‌های حیاتی (timthumb.php، آپلودفای، fckeditor، phpmyadmin و غیره)
• جستجوی اسکریپت هایی که برای سایت های PHP معمولی نیستند (.sh، .pl، .so، و غیره)
• جستجوی امضاها در بلوک‌های متنی رمزگذاری‌شده، تکه‌تکه‌شده و توالی‌های رمزگذاری‌شده hex/oct/dec
• جستجوی فایل های مشکوک با ساختارهای مورد استفاده در اسکریپت های مخرب
• یافتن لینک های مخفی در فایل ها
• یافتن پیوندهای نمادین
• جستجوی کد برای جستجو و تغییر مسیرهای تلفن همراه
• اتصالاتی مانند auto_prepend_file/auto_append_file، AddHandler را جستجو کنید
• درج های iframe را جستجو کنید
• تعیین نسخه و نوع cms
• جستجو کردن فایل های مخفی
• جستجو کردن. فایل های phpبا پسوندهای دوگانه، فایل‌های php. که به‌عنوان تصاویر GIF آپلود می‌شوند
• درگاه ها و دایرکتوری های حاوی تعداد مشکوکی از فایل های php/html را جستجو کنید
• یافتن باینری های اجرایی
• فیلتر کردن و مرتب سازی راحت لیست فایل ها در گزارش
• رابط به زبان روسی

دانستن چه چیز دیگری مهم است؟

اگر با استفاده از AI-Bolit نرم افزار مخربی در حساب شما پیدا شد، حذف این فایل ها مشکل آسیب پذیری سایت شما را حل نمی کند.

شما باید دریابید که چگونه هکر توانسته یک اسکریپت "بد" را در سایت شما وارد کند، یک "حفره" در نرم افزار خود پیدا کند. گاهی اوقات این نیاز به تغییر رمزهای عبور دسترسی FTP، به روز رسانی موتور سایت دارد، گاهی اوقات لازم است فایل های گزارش سرور را مطالعه کنید (اگر غیرفعال هستند، آنها را فعال کنید)، گاهی اوقات باید یک متخصص امنیت شخص ثالث را درگیر کنید.

و مجموعه اقدامات فوق بهترین کمک در رفع مشکل امنیتی وب سایت شما خواهد بود!

نمی توان تضمین کرد که همه اسکریپت های مخرب شناسایی می شوند. بنابراین، توسعه دهنده اسکنر و ارائه دهنده هاست مسئولیتی در قبال عواقب احتمالی مثبت کاذب در حین کار با اسکنر AI-Bolit یا انتظارات ناموجه کاربر در مورد عملکرد و قابلیت ها ندارد.

شما می توانید نظرات و پیشنهادات خود را در مورد نحوه عملکرد اسکریپت و همچنین هرگونه اسکریپت مخرب شناسایی نشده به [ایمیل محافظت شده].

یک اسکنر ویروس و بدافزار نسل جدید است که قبلاً توسط ده ها هزار وب مستر و مدیر سرور استفاده شده است.

به دنبال ویروس‌ها، اسکریپت‌های هکر، صفحات فیشینگ، درگاه‌ها و انواع دیگر اسکریپت‌های مخربی می‌گردد که توسط هکرها هنگام هک شدن وب‌سایت‌ها دانلود می‌شوند.

اگر سایت شما مشکل دارد، به عنوان مثال:

• آنتی ویروس ها دسترسی به صفحات وب سایت را مسدود می کنند،
• پیوندهای افراد دیگر در صفحات ظاهر شد
• تغییر مسیر تلفن همراه هنگام ورود از تلفن هوشمند یا رایانه لوحی رخ می دهد،
• حضور مردم به شدت کاهش یافت
• بازدیدکنندگان از ویروس ها شکایت دارند،
• میزبانی ایمیل مسدود شده برای ارسال هرزنامه،
• این ظن وجود دارد که سایت هک شده است

اسکنر AI-Bolit برای استفاده غیرتجاری رایگان است؛ هر مدیر وب سایت می تواند اسکنر را در سایت آپلود کند و منابع خود را برای ویروس ها و هک بررسی کند.

AI-Bolit توسط بسیاری از ارائه دهندگان هاست روسی توصیه می شود، برخی از آنها قبلاً یک اسکنر را در کنترل پنل خود ساخته اند. میزبانی مجازی، که به صاحب حساب اجازه می دهد تا یک اسکن آنتی ویروس را با یک کلیک انجام دهد.

این اسکنر توسط متخصصان در امنیت اطلاعاتشرکت Revision، متخصص در درمان وب سایت و حفاظت از هک.

متخصصان Revizium هر روز هنگام درمان و بازیابی وب سایت ها، اسکریپت های مخرب جدید و راه های پیچیده تری برای پنهان کردن کدهای مخرب کشف می کنند. این اطلاعات برای تنظیم الگوریتم اسکنر و پر کردن پایه قوانین استفاده می شود که باعث می شود اسکنر AI-Bolit با هر نسخه جدید کارآمدتر شود.

چه چیزی در مورد اسکنر AI-Bolit منحصر به فرد است؟

نقطه ضعف اسکنرهای بدافزار مبتنی بر سرور مدرن، رویکرد آنها در شناسایی بدافزارها و پایگاه ضد ویروس آنها است. آنتی ویروس های سرور با استفاده از پارامترهای ثابت (چک جمع فایل، هش، قطعات رشته) ویروس و کد هکر را جستجو می کنند. در همان زمان، توسعه دهندگان اسکریپت های مخرب مدرن یاد گرفته اند که اسکنرها را با استفاده از رمزگذاری کد فریب دهند و هر کپی جدید را با نسخه قبلی متفاوت کنند: آنها از مبهم سازی متغیر، رمزگذاری کد اجرایی، تماس های غیر مستقیم و سایر رویکردها استفاده می کنند. بنابراین، روش های قدیمی جستجو برای ویروس ها دیگر کار نمی کنند. اگر زودتر مدیر سیستمبرای اجرای دستور کافی بود

نوع f -name "*.php" -print0 | را پیدا کنید xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST)< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

برای جستجوی تمام پوسته های هکرها، اکنون این دیگر کافی نیست، زیرا پوسته وب هکر به این صورت است:

و ساختار و نمایش رشته آن را تغییر می دهد.

ما به مکانیزم کارآمدتری برای جستجوی کدهای مخرب نیاز داریم. بنابراین، AI-Bolit رویکرد کمی متفاوت دارد.

هنگام جستجوی کدهای مخرب، اسکنر از عادی سازی اولیه کد منبع، یک موتور جستجوی عبارت منظم و قوانین اکتشافی استفاده می کند. همه اینها در کنار هم تشخیص اصلاحات کدگذاری شده پوسته های وب و درهای پشتی و همچنین ویروس های جدید و هنوز ناشناخته و اسکریپت های هکر را ممکن می کند و آنها را با پارامترهای جایگزین شناسایی می کند (به عنوان مثال، اگر کد منبع از تماس های معمول برای اسکریپت های هکر استفاده می کند، فایل ها نام‌هایی به‌طور تصادفی، با ویژگی‌های فایل غیراستاندارد، و غیره ایجاد شده است. استفاده از یک الگوریتم پیشرفته تشخیص بدافزار به اسکنر AI-Bolit اجازه می دهد تا قطعات رمزگذاری شده با ماهیت چند شکلی را پیدا کند. مثلاً اینها:

در نتیجه آزمایش‌ها، AI-Bolit نسبت به ClamAv و MalDet که در بسیاری از سایت‌های میزبانی به‌عنوان راه‌حل‌های رایگان ضد ویروس استفاده می‌شوند، اسکریپت‌های هکر به‌طور قابل‌توجهی شناسایی بالاتری نشان داد.

نحوه عملکرد اسکنر AI-Bolit

برای بررسی یک سایت، فقط اسکنر را در دایرکتوری سایت (در هاست یا رایانه محلی با پشتیبان سایت) دانلود کرده و آن را اجرا کنید. اسکنر را می توان در مرورگر باز کرد یا در حالت خط فرمان از طریق SSH راه اندازی کرد. علاوه بر این، AI-Bolit می تواند نسخه پشتیبان سایت را به صورت محلی در رایانه شما بررسی کند.

نتیجه ممیزی سایت یک گزارش مفصل در قالب html یا متنی است که می تواند به طور خودکار از طریق ایمیل ارسال شود.

این سایت دارای دستورالعمل های ویدیویی دقیق و یک راهنمای برای مبتدیان است.

آیا مطمئن هستید که سایت شما هک نشده است؟

اکثر صاحبان وب سایت ها از هک شدن وب سایت هایشان بی اطلاع هستند و اسکریپت های هکری روی آنها بارگذاری شده است. بنابراین، توصیه می کنیم همین الان سایت های خود را با اسکنر AI-Bolit بررسی کنید. اگر در مورد گزارش اسکنر سؤالی دارید، آن را به آدرس "Revision" به آدرس [email protected] (در قالب یک بایگانی zip.) برای ما ارسال کنید، ما به شما کمک می کنیم آن را درک کنید.

به روز رسانی اسکنر در توییتر ما اعلام شده است