AI-Bolit yra pažangus nemokamas skaitytuvas užpakalinės durys, įsilaužėlių apvalkalai, virusai ir durys. Scenarijus gali ieškoti kenkėjiškų ir įtartinų kodų scenarijuose, aptikti šlamšto nuorodas, rodyti CMS versija ir serverio saugumui svarbius parametrus.

Skaitytuvo efektyvumas priklauso nuo šablonų ir euristikos naudojimo, o ne įprastos maišos paieškos.

Kūrybos istorija

IN šiuo metu antivirusinės programinės įrangos rinka asmeninius kompiuterius itin išvystyti: plačiai žinomi Kaspersky, Dr.Web, McAfee, Norton, Avast ir kitų sprendimai. Su virusų skaitytuvais ir kenkėjiškas kodas Tinklalapiams viskas nėra taip rožinė. Sistemos administratoriai ir svetainių savininkai, susirūpinę dėl kenkėjiško kodo paieškos savo serveriuose problemos, yra priversti naudoti namuose parašytus scenarijus, kurie ieško virusų ir apvalkalų naudojant tam tikrus anksčiau surinktus fragmentus. Aš padariau tą patį. Surinkau apvalkalus, virusus, užpakalines duris ir peradresavimo kodus iš klientų svetainių ir palaipsniui sukūriau kenkėjiškų kodų parašų duomenų bazę. O kad būtų patogu naudotis, parašiau nedidelį scenarijų PHP kalba.

Palaipsniui skaitytuvas įgavo naudingo funkcionalumo, galiausiai tapo akivaizdu, kad jis gali būti naudingas ne tik man.
2012 m. balandį keliuose forumuose paskelbiau apie AI-Bolit scenarijų, o po šešių mėnesių jis tapo pagrindiniu įrankiu ieškant kenkėjiško kodo tarp žiniatinklio valdytojų ir prieglobos administratorių. Kalbant apie suvestinę statistiką, per pusantrų metų scenarijus buvo atsiųstas daugiau nei 64 tūkst. Scenarijus taip pat gavo „Rospatent“ autorių teisių sertifikatą.

Skaitytuvo funkcijos

Pagrindinis skirtumas tarp AI-Bolit ir šiuo metu serveryje esančių virusų ir kenkėjiškų kodų skaitytuvų yra šablonų, kaip virusų parašų, naudojimas. Kenkėjiško kodo ieškoma naudojant įprastų posakių duomenų bazę, o ne maišą ar kontrolines sumas, kurios leidžia aptikti net pakeistus ir užmaskuotus apvalkalus, įterptus į TVS šablonus ar scenarijus.

Skaitytuvas gali veikti greito nuskaitymo režimu (tik PHP, HTML, JS, htaccess failams), „eksperto“ režimu ir išskirti katalogus bei failus pagal kaukę. Ji taip pat turi didelę CRC baltųjų sąrašų iš populiarių TVS duomenų bazę, kuri žymiai sumažina klaidingų teigiamų rezultatų skaičių.

Šiuo metu skaitytuvo duomenų bazėje yra daugiau nei 700 parašų kenkėjiškus scenarijus. Parašai yra reguliarios išraiškos, leidžiančios rasti, pavyzdžiui, užmaskuotų apvalkalų ir užpakalinių durų, kurių neranda nei LMD su ClamAV, nei net darbalaukio antivirusinės programos:

Parašų duomenų bazė reguliariai atnaujinama naujais pavyzdžiais, kuriuos randa Revision ekspertai ir scenarijaus naudotojai, todėl skaitytuvas nuolat atnaujinamas.

AI-Bolit sąsaja

AI-Bolit sąsaja yra labai paprasta. Tai yra PHP scenarijus, kurį galima paleisti komandinė eilutė per PHP CLI arba atidarykite naršyklėje su URL http://site/ai-bolit.php?p=password.

Scenarijaus rezultatas yra ataskaita, kurią sudaro keturi skyriai:

1. Statistika ir bendra informacija apie scenarijų.
2. Raudona kritinių komentarų skiltis su rastų apvalkalų, virusų ir kito kenksmingo kodo (arba į kenkėjišką kodą panašių fragmentų) sąrašu.
3. Oranžinė įspėjimo skiltis (įtartini kodo fragmentai, dažnai naudojami įsilaužimo įrankiuose).
4. Mėlyna rekomendacijų skiltis (rašymui atidarytų katalogų sąrašas, PHP nustatymai ir kt.).

Vartotojas analizuoja gautą ataskaitą žiūrėdamas fragmentus, suranda ir pašalina kenksmingus scenarijus ir kodo fragmentus rankiniu būdu, naudodamas komandinės eilutės įrankius arba programas, skirtas eilučių failuose paieškai ir pakeitimui.

Pagrindinė problema, su kuria dažniausiai susiduria virusų skaitytuvo kūrėjas, yra rasti aukso vidurį tarp skaitytuvo „paranoidiškumo“ (jautrumo) ir klaidingų teigiamų rezultatų skaičiaus. Jei kenkėjiško kodo paieškai naudosite tik fiksuotas eilutes, skaitytuvo efektyvumas bus žemas, nes nebus rasti užmaskuoti fragmentai, kodas su tarpais ir skirtukais arba sumaniai suformatuotas kodas. Jei ieškote pagal lanksčius šablonus, yra didelė klaidingų teigiamų rezultatų tikimybė, kai garantuoti saugūs scenarijai bus pažymėti kaip kenkėjiški.

AI-Bolite aš nusprendžiu Ši problema naudojant du darbo režimus („normalus“ / „ekspertas“) ir baltus lapus gerai žinomoms TVS.

AI-Bolit ateitis

Scenarijaus kūrimo planuose yra daug naudingų funkcijų ir integracijos su kitais antivirusiniais sprendimais. Vienas iš Pagrindiniai klausimai yra AI-Bolit integracija su ClamAV ir LMD duomenų bazėmis. Tokiu būdu AI-BOLIT galės ieškoti rootkit ir apvalkalų naudodamas kontrolines sumas.

Antras svarbus dalykas įgyvendinimo eilėje yra patogi sąsaja analizuoti lentelių ataskaitas su paieška ir lanksčiais filtrais. Bus galima filtruoti rastus failus pagal plėtinį, rūšiuoti pagal dydį, kontrolines sumas ir pan.

Trečias dalykas yra asinchroninio nuskaitymo įgyvendinimas naudojant AJAX, kuris išspręs svetainių, esančių silpnuose prieglobose, kuriuose yra ribotas procesoriaus suvartojimas arba scenarijaus veikimo laikas, nuskaitymo problemą. Šiuo metu tai galima išspręsti tik nuskenavus svetainės kopiją vietoje arba kitame, galingesniame serveryje. Ir, žinoma, nuolatinis kenkėjiškų kodų parašų duomenų bazių atnaujinimas.

Pagaliau

Scenarijaus kodas yra atviras, paskelbtas GitHub, todėl kiekvienas gali prisidėti prie kūrimo šio projekto. Savo pasiūlymus ir pageidavimus siųskite man adresu [apsaugotas el. paštas].

Susiklostė probleminė situacija – svetainė su virusais.

Dabar parodysiu, kaip šį virusą galima lengvai rasti ir sunaikinti. Pirmas dalykas, kurį turite padaryti, yra atsisiųsti svetainę į lokalę - daug lengviau patikrinti failų masyvą.

Šis tekstas yra iš vaizdo įrašo aprašymo, todėl jis yra šiek tiek chaotiškas ir nuobodus. Tačiau kiti mano raštai)

Atsisiųsime filezilla. Atsisiųsiu tiesiai į įdiegtą vietinį serverį - Atidarykite serverį– kad būtų galima bėgti lokaliai, staiga prireiks.

Jei turite įdiegtą antivirusinę programą, kuri nuskaito failus skrydžio metu, yra tikimybė, kad kai kuriuose failuose rasite virusų net atsisiuntimo metu. Pažvelkite į mano antivirusinės programos žurnalus.

Mano atveju mano Microsoft Security nieko nerodė – virusas jai buvo nežinomas.

Paieškai naudosiu specialią antivirusinę – Aibolit. Kūrėjo svetainė http://revisium.com/ai/
Patariu ateiti pasižiūrėti seminaro. Failai vis dar atsisiunčiami, tai užtruks ilgai. Vietinę kopiją jau paruošiau, vakar žaidžiau su šia antivirusine.

Taigi, darbui vis tiek reikia php, skirto windows. Atsisiųskite čia http://windows.php.net/download/ Naujausia versija„Windows“ zip archyve. Išpakuokite ten, kur jaučiatės patogiai.

GERAI. Pasiruošimas baigėsi. Dabar į darbą.

Atsisiųskite archyvą naudodami „iBolit“.

Viduje yra trys aplankai:

• ai-bolit yra tikroji antivirusinės programos šerdis
• Known_files – įvairių variklių antivirusinių failų duomenų bazių versijos
• įrankiai – pagalbinė priemonė.

Taigi, pradėkime apdoroti svetainę nuo virusų.

1. Nukopijuokite visus failus iš aplanko ai-bolit į svetainės šaknį
2. Jei žinome, kokį variklį turime, aplanke know_files pasirenkame aplanką su savo TVS ir visus failus įdedame į šaknį. Mano atveju, WordPress variklis, tada mes apdorosime virusus antivirusinėmis duomenų bazėmis, skirtomis WordPress. Jei norite viską patikrinti bendrai, galite užpildyti antivirusines duomenų bazes iš visų variklių - gal ras ką nors daugiau)
3. Vėl pamiršau – iBolit nustatymuose reikia nurodyti eksperto darbo režimą. Už tai teksto redaktorius atidarykite failą ai-bolit.php ir suraskite eilutę define('AI_EXPERT', 0); pakeiskite „0“ į „1“ ir viskas – eksperto režimas įjungtas.
4. Dabar turime išpakuoti savo ZIP archyvą su php į kokį nors aplanką, kur būtų patogu su juo dirbti. Mums reikia failo - php.exe
5. Dabar turime paleisti antivirusinės programos vykdomąjį failą. Norėdami tai padaryti, dukart spustelėkite ai-bolit.php. Jau turiu pasirinkimą, kaip paleisti šį scenarijų.

Patarčiau pasilikti tik įkėlimo aplanką ir temos aplanką. Visi įskiepiai bus atsisiųsti, nustatymai liks duomenų bazėje – virusai jų nepalies. Patikrinkite temą rankiniu būdu visus failus - laimei, jų ten nėra daug, jei svetainę išdėstė ne gremėzdiškas maketuotojas. O visa kita papildykite variklyje. tai yra patikimiausias būdas.

Taip pat primenu, kad virusų greičiausiai turite visoje savo prieglobos paskyroje (labai retai jiems pavyksta šokinėti tarp skirtingų vartotojų paskyrų, tik jei prieglobos administratorius yra kreivas žmogus).

Jei dėl kokių nors priežasčių iBolit bus pašalintas iš svetainės, visada galite atsisiųsti svetainės antivirusinę programą iš manęs

Virusai yra liūdni (

PS: du straipsniai apie tai, kaip išvalyti jau rastus virusus:

• Paprasčiau – kaip patiems nemokamai pašalinti virusą iš svetainės
• Pažengusiems -

Nemalonios situacijos mus nustebina. Kartais kai kurie vartotojai savo svetainėse įdiegia programinę įrangą, kurioje yra pažeidžiamumų. Arba užpuolikai randa „skyles“. programinė įranga, kuris yra laisvai platinamas. Aptikę tokias „skyles“, įsilaužėliai pradeda išnaudoti aukos paskyrą ir pristatyti kenksmingą programos kodas, visų rūšių įsilaužėlių apvalkalai, užpakalinės durys, šlamšto siuntėjai ir kiti kenkėjiški scenarijai.

Deja, kai kurie vartotojai laiku neatnaujina programinės įrangos savo svetainėse ir tampa tokių užpuolikų aukomis

Problemos esmė

Mūsų serverio programinė įranga daugeliu atvejų nustato kenksmingą apkrovą ir automatiškai pašalina „blogą“ veiklą.

Ką tiksliai daro kenkėjiška programa? Labai skirtingi dalykai: siunčia šlamštą, dalyvauja atakose prieš kitus išteklius ir tt... Vienas ryškiausių tokių virusų pavyzdžių yra „MAYHEM – daugiafunkcis robotas *NIX serveriams“. Pavyzdžiui, Yandex specialistai labai populiariai aiškina šį virusą savo tinklaraštyje arba

„Hostland“ nuolat džiugina savo klientus naujomis kovos su virusais priemonėmis!

Pristatome jums labai patogų ir nemokamą įrankį, skirtą jūsų paskyroje ieškoti virusų, kenkėjiškų ir įsilaužėlių scenarijų, parašais ir lanksčiais šablonais pagrįstus apvalkalus, paprasta euristika pagrįstus apvalkalus – viską, ko negali rasti įprastos antivirusinės programos ir skaitytuvai.

Pristatome savo vartotoją „AI-Bolit“ iš įmonės „Revision“

AI-Bolit skaitytuvo galimybės:

• Ieškokite įsilaužėlių php ir perl scenarijų (apvalkalų, užpakalinių durų), virusų intarpų, durų, šlamšto siuntėjų, nuorodų pardavimo scenarijų, maskavimo scenarijų ir kitų kenkėjiškų scenarijų. Ieškokite pagal šablonus ir reguliarios išraiškos, taip pat paprastos euristikos naudojimas potencialiai kenkėjiškam kodui nustatyti
• Ieškokite scenarijų su kritinėmis spragomis (timthumb.php, uploadify, fckeditor, phpmyadmin ir kt.)
• Ieškokite scenarijų, kurie nėra būdingi PHP svetainėms (.sh, .pl, .so ir kt.)
• Ieškokite parašų šifruotuose, fragmentuotuose teksto blokuose ir šešioliktainis/okt/dec koduotose sekose
• Ieškokite įtartinų failų su struktūromis, naudojamomis kenkėjiškuose scenarijuose
• Paslėptų nuorodų paieška failuose
• Simbolinių nuorodų paieška
• Ieškokite kodo paieškai ir peradresavimui į mobilųjį telefoną
• Ieškokite ryšių, pvz., auto_prepend_file/auto_append_file, AddHandler
• Ieškokite iframe intarpų
• CMS versijos ir tipo nustatymas
• Paieška paslėptus failus
• Paieška. php failus su dvigubais plėtiniais, .php failais, įkeliamais kaip GIF vaizdai
• Ieškokite durų ir katalogų, kuriuose yra įtartinai daug php/html failų
• Vykdomųjų dvejetainių failų paieška
• Patogus failų sąrašų filtravimas ir rūšiavimas ataskaitoje
• Sąsaja rusų kalba

Ką dar svarbu žinoti?

Jei naudojant AI-Bolit paskyroje buvo aptikta kenkėjiška programinė įranga, paprasčiausiai ištrynus šiuos failus jūsų svetainės pažeidžiamumo problema neišspręs.

Turite išsiaiškinti, kaip įsilaužėliui pavyko į jūsų svetainę įterpti „blogą“ scenarijų, rasti „skylę“ savo programinėje įrangoje. Kartais tam reikia pakeisti FTP prieigos slaptažodžius, atnaujinti svetainės variklį, kartais reikia ištirti serverio žurnalo failus (jei jie išjungti, juos įjungti), kartais reikia pasitelkti trečiosios šalies saugos specialistą.

O visas minėtų priemonių kompleksas bus geriausia pagalba sprendžiant Jūsų svetainės saugumo problemą!

Neįmanoma garantuoti, kad visi kenkėjiški scenarijai bus aptikti. Todėl skaitytuvo kūrėjas ir prieglobos paslaugų teikėjas neatsako už galimas klaidingų teigiamų rezultatų pasekmes AI-Bolit skaitytuvo veikimo metu arba nepagrįstus vartotojo lūkesčius dėl funkcionalumo ir galimybių.

Galite siųsti komentarus ir pasiūlymus, kaip veikia scenarijus, taip pat bet kokius neaptiktus kenkėjiškus scenarijus [apsaugotas el. paštas].

yra naujos kartos virusų ir kenkėjiškų programų skaitytuvas, kuriuo jau naudojosi dešimtys tūkstančių žiniatinklio valdytojų ir serverių administratorių.

Ji ieško virusų, įsilaužėlių scenarijų, sukčiavimo puslapių, durų ir kitų tipų kenkėjiškų scenarijų, kuriuos atsisiunčia įsilaužėliai, kai į svetaines įsilaužiama.

Jei jūsų svetainėje yra problemų, pavyzdžiui:

• antivirusinės programos blokuoja prieigą prie svetainės puslapių,
• puslapiuose pasirodė kitų žmonių nuorodos
• peradresavimas mobiliesiems įvyksta prisijungus iš išmaniojo telefono ar planšetinio kompiuterio,
• lankomumas smarkiai sumažėjo
• lankytojai skundžiasi virusais,
• priegloba užblokuotame laiške šlamštui siųsti,
• kyla įtarimas, kad į svetainę buvo įsilaužta

AI-Bolit skaitytuvas yra nemokamas nekomerciniam naudojimui; bet kuris žiniatinklio valdytojas gali įkelti skaitytuvą į svetainę ir patikrinti savo išteklius, ar nėra virusų ir įsilaužimų.

AI-Bolit rekomenduoja daugelis Rusijos prieglobos paslaugų teikėjų, kai kurie iš jų jau įmontavo skaitytuvą savo valdymo skydelyje virtualus priegloba, kuri leidžia paskyros savininkui vienu paspaudimu atlikti antivirusinę nuskaitymą.

Skaitytuvą sukūrė ekspertai informacijos saugumas Revizijos įmonė, kurios specializacija yra svetainių apdorojimas ir apsauga nuo įsilaužimo.

Kiekvieną dieną, tvarkydami ir atkurdami svetaines, „Revizium“ specialistai atranda naujų kenkėjiškų scenarijų ir sudėtingesnių būdų paslėpti kenkėjišką kodą. Ši informacija naudojama koreguoti skaitytuvo algoritmą ir papildyti taisyklių bazę, todėl AI-Bolit skaitytuvas tampa efektyvesnis su kiekviena nauja versija.

Kuo išskirtinis AI-Bolit skaitytuvas?

Šiuolaikinių serverių kenkėjiškų programų skaitytuvų trūkumas yra jų požiūris į kenkėjiškų programų aptikimą ir antivirusinę bazę. Serverio antivirusinės programos ieško virusų ir įsilaužėlių kodų naudodamos fiksuotus parametrus (failo kontrolinę sumą, maišą, eilutės fragmentus). Tuo pačiu metu šiuolaikinių kenkėjiškų scenarijų kūrėjai išmoko apgauti skaitytuvus naudodami kodo šifravimą, todėl kiekviena nauja kopija skiriasi nuo ankstesnės: jie naudoja kintamą užmaskavimą, vykdomojo kodo šifravimą, netiesioginius skambučius ir kitus metodus. Todėl seni virusų paieškos metodai nebeveikia. Jei anksčiau sistemos administratorius pakako įvykdyti komandą

Rasti -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" rasti -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (count($_POST))< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

Norint ieškoti visų įsilaužėlių apvalkalų, dabar to nebepakanka, nes įsilaužėlių žiniatinklio apvalkalas atrodo taip:

Ir tai keičia savo struktūrą ir stygų atvaizdavimą.

Mums reikia veiksmingesnio kenkėjiško kodo paieškos mechanizmo. Todėl „AI-Bolit“ laikosi šiek tiek kitokio požiūrio.

Ieškodamas kenkėjiško kodo, skaitytuvas naudoja preliminarų šaltinio kodo normalizavimą, reguliariųjų reiškinių paieškos variklį ir euristines taisykles. Visa tai kartu leidžia aptikti užkoduotas žiniatinklio apvalkalų ir užpakalinių durų modifikacijas, taip pat naujus, dar nežinomus virusus ir įsilaužėlių scenarijus, identifikuojant juos pagal alternatyvius parametrus (pavyzdžiui, jei šaltinio kode naudojami įsilaužėlių scenarijui būdingi iškvietimai, failai turėti atsitiktinai sugeneruotus pavadinimus , pagal nestandartinius failo atributus ir pan.). Naudojant pažangų kenkėjiškų programų aptikimo algoritmą, AI-Bolit skaitytuvas gali rasti užšifruotus polimorfinio pobūdžio fragmentus. Pavyzdžiui, šie:

Dėl eksperimentų AI-Bolit parodė žymiai didesnį įsilaužėlių scenarijų aptikimą nei ClamAv ir MalDet, kurie daugelyje prieglobos svetainių naudojami kaip nemokami antivirusiniai sprendimai.

Kaip veikia AI-Bolit skaitytuvas

Norėdami patikrinti svetainę, tiesiog atsisiųskite skaitytuvą į svetainės katalogą (priegloboje arba vietiniame kompiuteryje su svetainės atsargine kopija) ir paleiskite jį. Skaitytuvą galima atidaryti naršyklėje arba paleisti komandinės eilutės režimu per SSH. Be to, AI-Bolit gali patikrinti atsarginę svetainės kopiją jūsų kompiuteryje.

Svetainės audito rezultatas – išsami ataskaita html arba tekstiniu formatu, kurią ji gali automatiškai išsiųsti el. paštu.

Svetainėje yra išsamios vaizdo įrašo instrukcijos ir vadovas pradedantiesiems.

Ar esate tikri, kad jūsų svetainė nėra įsilaužta?

Dauguma svetainių savininkų nežino, kad į jų svetaines buvo įsilaužta, ir į jas yra įkelti įsilaužėlių scenarijai. Todėl rekomenduojame jau dabar patikrinti savo svetaines su AI-Bolit skaitytuvu. Jei turite klausimų dėl skaitytuvo ataskaitos, atsiųskite jį mums adresu „Revision“ adresu [email protected] (.zip archyvo pavidalu), mes padėsime suprasti.

Skaitytuvo atnaujinimai skelbiami mūsų Twitter