AI-Bolit เป็นขั้นสูง สแกนเนอร์ฟรีแบ็คดอร์ เชลล์ของแฮ็กเกอร์ ไวรัส และทางเข้าประตู สคริปต์สามารถค้นหาโค้ดที่เป็นอันตรายและน่าสงสัยในสคริปต์ ตรวจจับลิงก์สแปม แสดง เวอร์ชันซีเอ็มเอสและการตั้งค่าที่มีความสำคัญต่อความปลอดภัยของเซิร์ฟเวอร์

ประสิทธิภาพของเครื่องสแกนอยู่ที่การใช้รูปแบบและการวิเคราะห์พฤติกรรม มากกว่าการค้นหาแฮชแบบเดิมๆ

ประวัติความเป็นมาของการทรงสร้าง

ใน ช่วงเวลาปัจจุบันตลาดซอฟต์แวร์ป้องกันไวรัสสำหรับ คอมพิวเตอร์ส่วนบุคคลได้รับการพัฒนาอย่างมาก: โซลูชันจาก Kaspersky, Dr.Web, McAfee, Norton, Avast และอื่นๆ เป็นที่รู้จักอย่างกว้างขวาง พร้อมเครื่องสแกนไวรัสและ รหัสที่เป็นอันตรายสิ่งต่าง ๆ ไม่ได้เป็นสีดอกกุหลาบสำหรับเว็บไซต์ ผู้ดูแลระบบและเจ้าของเว็บไซต์ซึ่งกังวลเกี่ยวกับปัญหาในการค้นหาโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ของตน ถูกบังคับให้ใช้สคริปต์ที่เขียนขึ้นเองที่บ้านเพื่อค้นหาไวรัสและเชลล์โดยใช้ชิ้นส่วนบางส่วนที่รวบรวมไว้ก่อนหน้านี้ ฉันก็ทำเช่นเดียวกัน ฉันรวบรวมเชลล์ ไวรัส แบ็คดอร์และโค้ดเปลี่ยนเส้นทางจากไซต์ไคลเอนต์และค่อยๆ สร้างฐานข้อมูลของลายเซ็นโค้ดที่เป็นอันตราย และเพื่อให้สะดวกในการใช้งาน ฉันจึงเขียนสคริปต์เล็กๆ ใน PHP

สแกนเนอร์ได้รับฟังก์ชันที่มีประโยชน์ทีละน้อยและในที่สุดก็เห็นได้ชัดว่ามีประโยชน์ไม่เพียงสำหรับฉันเท่านั้น
ในเดือนเมษายน 2555 ฉันได้ประกาศสคริปต์ AI-Bolit ในฟอรัมหลายแห่ง และหกเดือนต่อมาสคริปต์ก็กลายเป็นเครื่องมือหลักในการค้นหาโค้ดที่เป็นอันตรายในหมู่ผู้ดูแลเว็บและผู้ดูแลระบบโฮสติ้ง สำหรับสถิติสรุปในหนึ่งปีครึ่งมีการดาวน์โหลดสคริปต์มากกว่า 64,000 ครั้ง สคริปต์นี้ยังได้รับใบรับรองลิขสิทธิ์จาก Rospatent

คุณสมบัติสแกนเนอร์

ข้อแตกต่างที่สำคัญระหว่าง AI-Bolit กับเครื่องสแกนไวรัสและโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีอยู่ในปัจจุบันคือการใช้รูปแบบเป็นลายเซ็นไวรัส การค้นหาโค้ดที่เป็นอันตรายเกิดขึ้นโดยใช้ฐานข้อมูลนิพจน์ทั่วไป แทนที่จะเป็นแฮชหรือเช็คซัม ซึ่งช่วยให้คุณตรวจจับได้แม้กระทั่งเชลล์ที่ถูกแก้ไขและซับซ้อนที่แทรกลงในเทมเพลตหรือสคริปต์ CMS

เครื่องสแกนสามารถทำงานในโหมดสแกนด่วน (เฉพาะไฟล์ PHP, HTML, JS, htaccess) ในโหมด "ผู้เชี่ยวชาญ" และยกเว้นไดเร็กทอรีและไฟล์ด้วยมาสก์ นอกจากนี้ยังมีฐานข้อมูลขนาดใหญ่ของรายการ CRC white list จาก CMS ยอดนิยม ซึ่งช่วยลดจำนวนผลบวกลวงได้อย่างมาก

ปัจจุบันฐานข้อมูลเครื่องสแกนมีลายเซ็นมากกว่า 700 รายการ สคริปต์ที่เป็นอันตราย- ลายเซ็นเป็นนิพจน์ทั่วไปซึ่งช่วยให้คุณสามารถค้นหาเชลล์และแบ็คดอร์ที่สับสนซึ่งทั้ง LMD ที่มี ClamAV หรือแม้แต่โปรแกรมป้องกันไวรัสบนเดสก์ท็อปไม่พบ:

ฐานข้อมูลลายเซ็นได้รับการอัปเดตเป็นประจำด้วยตัวอย่างใหม่ที่พบทั้งโดยผู้เชี่ยวชาญจากการแก้ไขและโดยผู้ใช้สคริปต์ ซึ่งช่วยให้คุณอัปเดตเครื่องสแกนให้ทันสมัยอยู่เสมอ

อินเทอร์เฟซ AI-Bolit

อินเทอร์เฟซ AI-Bolit นั้นเรียบง่ายมาก นี่คือสคริปต์ PHP ที่สามารถเรียกใช้ได้ บรรทัดคำสั่งผ่าน PHP CLI หรือเปิดในเบราว์เซอร์ด้วย URL http://site/ai-bolit.php?p=password

ผลลัพธ์ของสคริปต์คือรายงานที่ประกอบด้วยสี่ส่วน:

1. สถิติและ ข้อมูลทั่วไปเกี่ยวกับสคริปต์
2. ส่วนสีแดงของความคิดเห็นเชิงวิจารณ์พร้อมรายการเชลล์ ไวรัส และโค้ดที่เป็นอันตรายอื่นๆ ที่พบ (หรือส่วนที่คล้ายกับโค้ดที่เป็นอันตราย)
3. ส่วนคำเตือนสีส้ม (ส่วนของโค้ดที่น่าสงสัยซึ่งมักใช้ในเครื่องมือแฮ็ก)
4. ส่วนสีน้ำเงินของคำแนะนำ (รายการไดเร็กทอรีที่เปิดให้เขียน การตั้งค่า PHP ฯลฯ)

ผู้ใช้วิเคราะห์รายงานที่ได้รับโดยการดูตัวอย่าง ค้นหาและลบสคริปต์ที่เป็นอันตรายและส่วนของโค้ดด้วยตนเองโดยใช้เครื่องมือบรรทัดคำสั่งหรือโปรแกรมสำหรับค้นหาและแทนที่สตริงในไฟล์

ปัญหาหลักที่นักพัฒนาโปรแกรมสแกนไวรัสมักเผชิญคือการค้นหาค่าเฉลี่ยสีทองระหว่าง “ความหวาดระแวง” (ความไว) ของเครื่องสแกนและจำนวนผลบวกลวง หากคุณใช้เฉพาะสตริงคงที่ในการค้นหาโค้ดที่เป็นอันตราย ประสิทธิภาพของเครื่องสแกนจะลดลง เนื่องจากจะไม่พบแฟรกเมนต์ที่สับสน โค้ดที่มีช่องว่างและแท็บ หรือโค้ดที่จัดรูปแบบอย่างชาญฉลาดจะไม่พบ หากคุณค้นหาตามรูปแบบที่ยืดหยุ่น มีความเป็นไปได้สูงที่จะเกิดผลบวกลวง เมื่อสคริปต์ที่ปลอดภัยที่รับประกันว่าถูกทำเครื่องหมายว่าเป็นอันตราย

ใน AI-Bolit ฉันตัดสินใจ ปัญหานี้โดยใช้โหมดการทำงานสองโหมด (“ปกติ”/“ผู้เชี่ยวชาญ”) และแผ่นสีขาวสำหรับ CMS ที่รู้จักกันดี

อนาคตของ AI-Bolit

แผนการพัฒนาสคริปต์ประกอบด้วยฟีเจอร์ที่มีประโยชน์มากมายและการผสานรวมกับโซลูชั่นแอนตี้ไวรัสอื่นๆ หนึ่งใน ประเด็นสำคัญเป็นการบูรณาการ AI-Bolit กับฐานข้อมูล ClamAV และ LMD ด้วยวิธีนี้ AI-BOLIT จะสามารถค้นหารูทคิทและเชลล์โดยใช้เช็คซัมได้

สิ่งสำคัญอันดับสองในคิวการดำเนินการคือ ส่วนต่อประสานที่ใช้งานง่ายสำหรับการวิเคราะห์รายงานแบบตารางด้วยการค้นหาและตัวกรองที่ยืดหยุ่น คุณจะสามารถกรองไฟล์ที่พบตามนามสกุล จัดเรียงตามขนาด เช็คซัม และอื่นๆ ได้

จุดที่สามคือการใช้การสแกนแบบอะซิงโครนัสโดยใช้ AJAX ซึ่งจะแก้ปัญหาการสแกนไซต์ที่โฮสต์บนโฮสต์ที่อ่อนแอซึ่งมีการใช้ CPU หรือเวลารันสคริปต์ที่จำกัด ในขณะนี้ สามารถแก้ไขได้โดยการสแกนสำเนาของไซต์ภายในเครื่องหรือบนเซิร์ฟเวอร์อื่นที่มีประสิทธิภาพมากกว่าเท่านั้น และแน่นอนว่ามีการอัพเดตฐานข้อมูลลายเซ็นโค้ดที่เป็นอันตรายอย่างต่อเนื่อง

สรุปแล้ว

โค้ดสคริปต์เปิดอยู่ โพสต์บน GitHub ดังนั้นใครๆ ก็สามารถมีส่วนร่วมในการพัฒนาได้ ของโครงการนี้- ส่งข้อเสนอแนะและความปรารถนาของคุณมาที่ [ป้องกันอีเมล].

มีสถานการณ์ที่มีปัญหา - ไซต์ที่มีไวรัส

ตอนนี้ผมจะแสดงให้เห็นว่าไวรัสนี้สามารถค้นพบและทำลายได้ง่ายได้อย่างไร สิ่งแรกที่คุณต้องทำคือดาวน์โหลดไซต์ลงในโลแคล - การตรวจสอบอาร์เรย์ของไฟล์ทำได้ง่ายกว่ามาก

ข้อความนี้มาจากคำอธิบายวิดีโอ ดังนั้นจึงดูวุ่นวายและน่าเบื่อเล็กน้อย อย่างไรก็ตามงานเขียนที่เหลือของฉัน)

เราจะดาวน์โหลดไฟล์ filezilla ฉันจะดาวน์โหลดโดยตรงไปยังเซิร์ฟเวอร์ภายในที่ติดตั้ง - Open Server - เพื่อให้ฉันสามารถเรียกใช้ในเครื่องได้หากฉันต้องการมันโดยฉับพลัน

หากคุณติดตั้งโปรแกรมป้องกันไวรัสที่สแกนไฟล์ได้ทันที อาจมีโอกาสที่คุณจะพบไวรัสในบางไฟล์แม้ในระหว่างการดาวน์โหลดก็ตาม ดูในบันทึกของโปรแกรมป้องกันไวรัสของฉัน

ในกรณีของฉันของฉัน การรักษาความปลอดภัยของไมโครซอฟต์ไม่แสดงอะไรเลย - ไวรัสไม่เป็นที่รู้จักสำหรับเขา

ฉันจะใช้โปรแกรมป้องกันไวรัสพิเศษ - Aibolit ในการค้นหา เว็บไซต์นักพัฒนา http://revisium.com/ai/
แนะนำให้มาชมสัมมนาครับ ไฟล์ยังคงถูกดาวน์โหลดอยู่ ซึ่งจะใช้เวลานาน ฉันมีสำเนาในเครื่องอยู่แล้ว เมื่อวานฉันเล่นกับโปรแกรมป้องกันไวรัสนี้

ดังนั้นในการทำงานเรายังต้องการ php สำหรับ windows ดาวน์โหลดได้ที่นี่ http://windows.php.net/download/ เวอร์ชันล่าสุดสำหรับหน้าต่างใน ไฟล์ zipจ. แกะออกที่ไหนสักแห่งที่สะดวกสำหรับคุณ

ตกลง. การเตรียมการสิ้นสุดลงแล้ว ตอนนี้ไปทำงานแล้ว

ดาวน์โหลดไฟล์เก็บถาวรด้วย iBolit

ภายในมีสามโฟลเดอร์:

• ai-bolit เป็นแกนหลักของโปรแกรมป้องกันไวรัส
• known_files – เวอร์ชันของฐานข้อมูลไฟล์ป้องกันไวรัสสำหรับเอ็นจิ้นต่างๆ
• เครื่องมือ – ยูทิลิตี้เสริม

ดังนั้นเรามาเริ่มรักษาเว็บไซต์เพื่อหาไวรัสกันดีกว่า

1. คัดลอกไฟล์ทั้งหมดจากโฟลเดอร์ ai-bolit ไปยังรูทของไซต์
2. หากเรารู้ว่าเรามีเอ็นจิ้นใด ให้เลือกโฟลเดอร์ที่มี CMS ของเราในโฟลเดอร์known_files และใส่ไฟล์ทั้งหมดไว้ที่รูท ในกรณีของฉัน เอ็นจิ้น WordPress เราจะจัดการกับไวรัสด้วยฐานข้อมูลแอนตี้ไวรัสสำหรับ WordPress หากคุณต้องการตรวจสอบทุกอย่างโดยทั่วไปคุณสามารถกรอกฐานข้อมูลต่อต้านไวรัสจากเอ็นจิ้นทั้งหมดได้ - บางทีมันอาจจะพบอะไรมากกว่านี้)
3. ฉันลืมอีกครั้ง - คุณต้องระบุโหมดการทำงานของผู้เชี่ยวชาญในการตั้งค่า iBolit สำหรับสิ่งนี้ โปรแกรมแก้ไขข้อความเปิดไฟล์ ai-bolit.php และค้นหาบรรทัดกำหนด ('AI_EXPERT', 0); เปลี่ยน "0" เป็น "1" เท่านี้ก็เรียบร้อย - โหมดผู้เชี่ยวชาญเปิดอยู่
4. ตอนนี้เราต้องแตกไฟล์ zip ของเราด้วย php ลงในโฟลเดอร์บางโฟลเดอร์ที่จะใช้งานได้สะดวก เราต้องการไฟล์ - php.exe
5. ตอนนี้เราจำเป็นต้องเรียกใช้ไฟล์ปฏิบัติการของโปรแกรมป้องกันไวรัสของเรา โดยดับเบิลคลิกที่ ai-bolit.php ฉันมีตัวเลือกแล้วว่าจะใช้สคริปต์นี้อย่างไร

ฉันขอแนะนำให้เก็บเฉพาะโฟลเดอร์อัพโหลดและโฟลเดอร์ธีมของคุณเท่านั้น ปลั๊กอินทั้งหมดจะถูกดาวน์โหลด การตั้งค่าจะยังคงอยู่ในฐานข้อมูล - ไวรัสจะไม่แตะต้องพวกมัน ตรวจสอบธีมของไฟล์ทั้งหมดด้วยตนเอง - โชคดีที่มีไฟล์ไม่มากหากไซต์ไม่ได้ถูกออกแบบโดยนักออกแบบเลย์เอาต์ที่งุ่มง่าม และเติมสิ่งอื่นๆในเครื่องยนต์ นี่เป็นวิธีที่น่าเชื่อถือที่สุด

และฉันขอเตือนคุณด้วยว่าคุณน่าจะมีไวรัสอยู่ในบัญชีโฮสติ้งทั้งหมดของคุณ (แทบจะไม่ค่อยมีไวรัสที่สามารถข้ามไปมาระหว่างบัญชีของผู้ใช้ที่แตกต่างกันได้ เฉพาะในกรณีที่ผู้ดูแลระบบโฮสติ้งเป็นคนคดโกง)

หาก iBolit ถูกลบออกจากไซต์ด้วยเหตุผลบางประการ คุณสามารถดาวน์โหลดโปรแกรมป้องกันไวรัสสำหรับไซต์จากฉันได้เสมอ

ไวรัสเป็นเรื่องน่าเศร้า (

PS: บทความสองเรื่องเกี่ยวกับวิธีทำความสะอาดไวรัสที่พบแล้ว:

• ง่ายกว่า - วิธีลบไวรัสออกจากเว็บไซต์ด้วยตัวคุณเองฟรี
• สำหรับขั้นสูง -

สถานการณ์ที่ไม่พึงประสงค์ทำให้เราประหลาดใจ บางครั้งผู้ใช้บางรายติดตั้งซอฟต์แวร์บนเว็บไซต์ของตนซึ่งมีช่องโหว่ หรือผู้โจมตีพบ “ช่องโหว่” เข้ามา ซอฟต์แวร์ซึ่งแจกจ่ายอย่างเสรี หลังจากค้นพบ "ช่องโหว่" ดังกล่าว แฮกเกอร์ก็เริ่มใช้ประโยชน์จากบัญชีของเหยื่อและก่อให้เกิดอันตราย รหัสโปรแกรม, เชลล์แฮ็กเกอร์ทุกชนิด, แบ็คดอร์, ผู้ส่งสแปม และสคริปต์ที่เป็นอันตรายอื่น ๆ

น่าเสียดายที่ผู้ใช้บางรายไม่อัปเดตซอฟต์แวร์บนเว็บไซต์ตรงเวลาและตกเป็นเหยื่อของผู้โจมตีดังกล่าว

สาระสำคัญของปัญหา

ในกรณีส่วนใหญ่ ซอฟต์แวร์เซิร์ฟเวอร์ของเราจะระบุโหลดที่เป็นอันตรายและกำจัดกิจกรรม “ที่ไม่ดี” โดยอัตโนมัติ

มัลแวร์ทำอะไรกันแน่? สิ่งที่แตกต่างกันมาก: ส่งสแปม เข้าร่วมในการโจมตีทรัพยากรอื่น ๆ ฯลฯ... หนึ่งในตัวอย่างที่โดดเด่นของไวรัสดังกล่าวคือ “MAYHEM - บอทอเนกประสงค์สำหรับเซิร์ฟเวอร์ *NIX” ตัวอย่างเช่นผู้เชี่ยวชาญยานเดกซ์นิยมอธิบายไวรัสนี้ในบล็อกหรือ

Hostland สร้างความพึงพอใจให้กับลูกค้าด้วยเครื่องมือใหม่ๆ ในการต่อสู้กับไวรัส!

เรานำเสนอเครื่องมือที่สะดวกและฟรีสำหรับการค้นหาไวรัส สคริปต์ที่เป็นอันตรายและแฮ็กเกอร์ในบัญชีของคุณ เชลล์ตามลายเซ็นและรูปแบบที่ยืดหยุ่น เชลล์ตามการวิเคราะห์พฤติกรรมแบบง่าย - ทุกสิ่งที่โปรแกรมป้องกันไวรัสและสแกนเนอร์ทั่วไปไม่สามารถค้นหาได้

เราแนะนำผู้ใช้ของเรา “AI-Bolit” จากบริษัท “Revision”

ความสามารถของเครื่องสแกน AI-Bolit:

• ค้นหาสคริปต์แฮ็กเกอร์ PHP และ Perl (เชลล์ แบ็คดอร์) ส่วนแทรกไวรัส ดอร์เวย์ ผู้ส่งสแปม สคริปต์การขายลิงก์ สคริปต์การปิดบัง และสคริปต์ที่เป็นอันตรายประเภทอื่นๆ ค้นหาตามเทมเพลตและ การแสดงออกปกติรวมถึงการใช้การวิเคราะห์พฤติกรรมแบบง่ายเพื่อระบุโค้ดที่อาจเป็นอันตราย
• ค้นหาสคริปต์ที่มีช่องโหว่ร้ายแรง (timthumb.php, uploadify, fckeditor, phpmyadmin และอื่นๆ)
• ค้นหาสคริปต์ที่ไม่ปกติสำหรับไซต์ PHP (.sh, .pl, .so ฯลฯ)
• ค้นหาลายเซ็นในบล็อกข้อความที่เข้ารหัสและกระจัดกระจาย และลำดับการเข้ารหัส hex/oct/dec
• ค้นหาไฟล์ที่น่าสงสัยด้วยโครงสร้างที่ใช้ในสคริปต์ที่เป็นอันตราย
• ค้นหา ลิงก์ที่ซ่อนอยู่ในไฟล์
• ค้นหาลิงค์สัญลักษณ์
• ค้นหารหัสสำหรับการค้นหาและการเปลี่ยนเส้นทางมือถือ
• ค้นหาการเชื่อมต่อเช่น auto_prepend_file/auto_append_file, AddHandler
• ค้นหาส่วนแทรก iframe
• การกำหนดเวอร์ชันและประเภท cms
• ค้นหา ไฟล์ที่ซ่อนอยู่
• ค้นหา. ไฟล์ .phpด้วยนามสกุลคู่ ไฟล์ .php อัปโหลดเป็นภาพ GIF
• ค้นหาดอร์เวย์และไดเร็กทอรีที่มีไฟล์ php/html จำนวนมากอย่างน่าสงสัย
• ค้นหาไบนารีที่ปฏิบัติการได้
• การกรองและการเรียงลำดับรายการไฟล์ในรายงานที่สะดวก
• อินเทอร์เฟซเป็นภาษารัสเซีย

มีอะไรอีกที่สำคัญที่ต้องรู้?

หากพบซอฟต์แวร์ที่เป็นอันตรายในบัญชีของคุณโดยใช้ "AI-Bolit" การลบไฟล์เหล่านี้จะไม่ช่วยแก้ปัญหาช่องโหว่ของไซต์ของคุณ

คุณต้องค้นหาว่าแฮกเกอร์สามารถแทรกสคริปต์ "ไม่ดี" ลงในไซต์ของคุณได้อย่างไร ค้นหา "ช่องโหว่" ในซอฟต์แวร์ของเขา บางครั้งจำเป็นต้องเปลี่ยนรหัสผ่านสำหรับการเข้าถึง FTP อัปเดตเอ็นจิ้นไซต์ บางครั้งจำเป็นต้องศึกษาไฟล์บันทึกของเซิร์ฟเวอร์ (หากปิดใช้งาน ให้เปิดใช้งาน) บางครั้งคุณต้องเกี่ยวข้องกับผู้เชี่ยวชาญด้านความปลอดภัยบุคคลที่สาม

และมาตรการที่ซับซ้อนข้างต้นทั้งหมดจะช่วยได้ที่ดีที่สุดในการแก้ปัญหาความปลอดภัยของเว็บไซต์ของคุณ!

ไม่สามารถรับประกันได้ว่าจะมีการตรวจพบสคริปต์ที่เป็นอันตรายทั้งหมด ดังนั้น ผู้พัฒนาเครื่องสแกนและผู้ให้บริการโฮสต์จะไม่รับผิดชอบต่อผลที่อาจเกิดขึ้นจากผลบวกลวงระหว่างการทำงานของเครื่องสแกน AI-Bolit หรือความคาดหวังของผู้ใช้ที่ไม่ยุติธรรมเกี่ยวกับฟังก์ชันการทำงานและความสามารถ

คุณสามารถส่งความคิดเห็นและข้อเสนอแนะเกี่ยวกับวิธีการทำงานของสคริปต์ รวมถึงสคริปต์ที่เป็นอันตรายที่ตรวจไม่พบได้ [ป้องกันอีเมล].

เป็นเครื่องสแกนไวรัสและมัลแวร์รุ่นใหม่ที่มีการใช้งานโดยเว็บมาสเตอร์และผู้ดูแลเซิร์ฟเวอร์นับหมื่นราย

ค้นหาไวรัส สคริปต์ของแฮ็กเกอร์ หน้าฟิชชิ่ง ดอร์เวย์ และสคริปต์ที่เป็นอันตรายประเภทอื่นๆ ที่แฮกเกอร์ดาวน์โหลดเมื่อเว็บไซต์ถูกแฮ็ก

หากไซต์ของคุณมีปัญหา เช่น:

• โปรแกรมป้องกันไวรัสบล็อกการเข้าถึงหน้าเว็บไซต์
• ลิงก์ของผู้อื่นปรากฏบนหน้าเว็บ
• กำลังเกิดขึ้น การเปลี่ยนเส้นทางมือถือเมื่อเข้าสู่ระบบจากสมาร์ทโฟนหรือแท็บเล็ต
• ผู้เข้าร่วมลดลงอย่างรวดเร็ว
• ผู้เยี่ยมชมบ่นเรื่องไวรัส
• โฮสต์เมลที่ถูกบล็อกเพื่อส่งสแปม
• มีข้อสงสัยว่าไซต์ถูกแฮ็ก

เครื่องสแกน AI-Bolit นั้นฟรีสำหรับการใช้งานที่ไม่ใช่เชิงพาณิชย์ เว็บมาสเตอร์ทุกคนสามารถอัปโหลดเครื่องสแกนไปยังไซต์และตรวจสอบทรัพยากรของตนเพื่อหาไวรัสและการแฮ็ก

AI-Bolit ได้รับการแนะนำโดยผู้ให้บริการโฮสติ้งชาวรัสเซียหลายราย ซึ่งบางรายได้สร้างสแกนเนอร์ไว้ในแผงควบคุมแล้ว โฮสติ้งเสมือนซึ่งช่วยให้เจ้าของบัญชีทำการสแกนป้องกันไวรัสได้ในคลิกเดียว

เครื่องสแกนได้รับการพัฒนาโดยผู้เชี่ยวชาญใน ความปลอดภัยของข้อมูลบริษัทแก้ไขที่เชี่ยวชาญด้านการดูแลเว็บไซต์และการป้องกันการแฮ็ก

ทุกๆ วัน ในการดูแลและกู้คืนเว็บไซต์ ผู้เชี่ยวชาญของ Revizium จะค้นพบสคริปต์ที่เป็นอันตรายใหม่ๆ และวิธีการที่ซับซ้อนมากขึ้นในการซ่อนโค้ดที่เป็นอันตราย ข้อมูลนี้ใช้เพื่อปรับอัลกอริธึมของเครื่องสแกนและเสริมฐานกฎ ซึ่งทำให้เครื่องสแกน AI-Bolit มีประสิทธิภาพมากขึ้นในเวอร์ชันใหม่แต่ละเวอร์ชัน

เครื่องสแกน AI-Bolit มีความพิเศษอย่างไร

จุดอ่อนของเครื่องสแกนมัลแวร์บนเซิร์ฟเวอร์สมัยใหม่คือวิธีการตรวจจับมัลแวร์และฐานการต่อต้านไวรัส โปรแกรมป้องกันไวรัสเซิร์ฟเวอร์ค้นหาไวรัสและรหัสแฮ็กเกอร์โดยใช้พารามิเตอร์คงที่ (การตรวจสอบไฟล์ แฮช ส่วนของสตริง) ในเวลาเดียวกัน นักพัฒนาสคริปต์ที่เป็นอันตรายสมัยใหม่ได้เรียนรู้ที่จะหลอกลวงเครื่องสแกนโดยใช้การเข้ารหัสโค้ด ทำให้สำเนาใหม่แต่ละสำเนาแตกต่างจากสำเนาก่อนหน้า: พวกเขาใช้การทำให้สับสนแบบแปรผัน การเข้ารหัสของโค้ดที่ปฏิบัติการได้ การโทรทางอ้อม และวิธีการอื่น ๆ ดังนั้นวิธีการค้นหาไวรัสแบบเก่าจึงไม่สามารถใช้งานได้อีกต่อไป ถ้าก่อนหน้านี้ ผู้ดูแลระบบมันก็เพียงพอที่จะดำเนินการตามคำสั่ง

ค้นหา -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "if (นับ($_POST)< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

หากต้องการค้นหาเชลล์ของแฮ็กเกอร์ทั้งหมด ตอนนี้การค้นหาเชลล์ของแฮ็กเกอร์ทั้งหมดยังไม่เพียงพออีกต่อไป เนื่องจากเว็บเชลล์ของแฮ็กเกอร์มีลักษณะดังนี้:

และมันเปลี่ยนโครงสร้างและการแทนสตริง

เราต้องการกลไกที่มีประสิทธิภาพมากขึ้นในการค้นหาโค้ดที่เป็นอันตราย ดังนั้น AI-Bolit จึงใช้แนวทางที่แตกต่างออกไปเล็กน้อย

เมื่อค้นหาโค้ดที่เป็นอันตราย เครื่องสแกนจะใช้การทำให้ซอร์สโค้ดเป็นมาตรฐานเบื้องต้น เครื่องมือค้นหานิพจน์ทั่วไป และกฎการวิเคราะห์พฤติกรรม ทั้งหมดนี้ทำให้สามารถตรวจจับการดัดแปลงที่เข้ารหัสของเชลล์เว็บและประตูหลังได้ เช่นเดียวกับไวรัสและสคริปต์แฮ็กเกอร์ใหม่ที่ยังไม่รู้จัก โดยระบุสิ่งเหล่านั้นด้วยพารามิเตอร์ทางเลือก (เช่น หากซอร์สโค้ดใช้การเรียกทั่วไปสำหรับสคริปต์ของแฮ็กเกอร์ ไฟล์ต่างๆ มีชื่อที่สร้างแบบสุ่ม โดยแอตทริบิวต์ไฟล์ที่ไม่เป็นมาตรฐาน ฯลฯ) การใช้อัลกอริธึมการตรวจจับมัลแวร์ขั้นสูงช่วยให้เครื่องสแกน AI-Bolit ค้นหาชิ้นส่วนที่เข้ารหัสซึ่งมีลักษณะเป็นโพลีมอร์ฟิก ตัวอย่างเช่น:

จากผลการทดลอง AI-Bolit แสดงให้เห็นการตรวจจับสคริปต์ของแฮ็กเกอร์ได้สูงกว่า ClamAv และ MalDet อย่างมีนัยสำคัญ ซึ่งใช้ในไซต์โฮสติ้งหลายแห่งเป็นโซลูชั่นป้องกันไวรัสฟรี

เครื่องสแกน AI-Bolit ทำงานอย่างไร

หากต้องการตรวจสอบไซต์ เพียงดาวน์โหลดสแกนเนอร์ไปยังไดเร็กทอรีของไซต์ (บนโฮสต์หรือบนเครื่องคอมพิวเตอร์ที่มีข้อมูลสำรองของไซต์) แล้วเรียกใช้งาน เครื่องสแกนสามารถเปิดในเบราว์เซอร์หรือเปิดใช้งานในโหมดบรรทัดคำสั่งผ่าน SSH นอกจากนี้ AI-Bolit ยังสามารถตรวจสอบสำเนาสำรองของไซต์ในคอมพิวเตอร์ของคุณได้

ผลลัพธ์ของการตรวจสอบไซต์จะเป็นรายงานโดยละเอียดในรูปแบบ html หรือข้อความ ซึ่งสามารถส่งทางอีเมลได้โดยอัตโนมัติ

เว็บไซต์นี้มีคำแนะนำวิดีโอโดยละเอียดและคำแนะนำสำหรับผู้เริ่มต้น

คุณแน่ใจหรือว่าเว็บไซต์ของคุณไม่ได้ถูกแฮ็ก?

เจ้าของเว็บไซต์ส่วนใหญ่ไม่ทราบว่าเว็บไซต์ของตนถูกแฮ็กและมีสคริปต์ของแฮ็กเกอร์โหลดเข้ามา ดังนั้น เราขอแนะนำให้ตรวจสอบเว็บไซต์ของคุณด้วยเครื่องสแกน AI-Bolit ทันที หากคุณมีคำถามใดๆ เกี่ยวกับรายงานเครื่องสแกนเนอร์ ส่งมาที่เราได้ที่ “การแก้ไข” ที่ [ป้องกันอีเมล](ในรูปแบบของไฟล์ .zip) เราจะช่วยให้คุณเข้าใจได้

การอัปเดตสแกนเนอร์จะมีการประกาศบน Twitter ของเรา