AI-Bolit rivojlangan bepul skaner orqa eshiklar, xaker qobiqlari, viruslar va eshiklar. Skript skriptlarda zararli va shubhali kodlarni qidirishi, spam havolalarini aniqlashi, ko'rsatishi mumkin CMS versiyasi va server xavfsizligi uchun muhim sozlamalar.

Skanerning samaradorligi an'anaviy xesh-qidiruvdan ko'ra naqsh va evristikadan foydalanishdadir.

Yaratilish tarixi

IN hozirda uchun antivirus dasturiy ta'minot bozori shaxsiy kompyuterlar juda rivojlangan: Kaspersky, Dr.Web, McAfee, Norton, Avast va boshqalarning echimlari keng tarqalgan. Virus skanerlari bilan va zararli kod Veb-saytlar uchun hamma narsa unchalik qizg'ish emas. O'z serverlarida zararli kodlarni qidirish muammosidan xavotirda bo'lgan tizim ma'murlari va veb-sayt egalari avval to'plangan ba'zi fragmentlar yordamida viruslar va qobiqlarni qidiradigan uyda yozilgan skriptlardan foydalanishga majbur. Men ham xuddi shunday qildim. Men mijoz saytlaridan qobiqlar, viruslar, orqa eshiklar va qayta yo'naltirish kodlarini to'pladim va asta-sekin zararli kod imzolarining ma'lumotlar bazasini shakllantirdim. Va undan foydalanish qulay bo'lishi uchun men PHPda kichik skript yozdim.

Asta-sekin, skaner foydali funksiyalarga ega bo'ldi va nihoyat, u nafaqat men uchun foydali bo'lishi mumkinligi ayon bo'ldi.
2012 yil aprel oyida men AI-Bolit skriptini bir nechta forumlarda e'lon qildim va olti oy o'tgach, u veb-ustalar va hosting ma'murlari orasida zararli kodlarni qidirishning asosiy vositasiga aylandi. Xulosa statistik ma'lumotlarga kelsak, bir yarim yil ichida skript 64 ming martadan ko'proq yuklab olingan. Skript Rospatentdan mualliflik guvohnomasini ham oldi.

Skaner xususiyatlari

AI-Bolit va hozirda mavjud bo'lgan virus va zararli kod skanerlari o'rtasidagi asosiy farq virus imzolari sifatida naqshlardan foydalanishdir. Zararli kodni qidirish xesh yoki nazorat yig'indisi o'rniga oddiy iboralar ma'lumotlar bazasidan foydalangan holda amalga oshiriladi, bu sizga CMS shablonlari yoki skriptlariga kiritilgan hatto o'zgartirilgan va noaniq qobiqlarni aniqlash imkonini beradi.

Brauzer tezkor skanerlash rejimida (faqat PHP, HTML, JS, htaccess fayllari uchun), "ekspert" rejimida ishlashi va maske bilan katalog va fayllarni istisno qilishi mumkin. Shuningdek, u mashhur CMS-larning CRC oq ro'yxatlarining katta ma'lumotlar bazasiga ega, bu noto'g'ri pozitivlar sonini sezilarli darajada kamaytiradi.

Hozirda skaner ma'lumotlar bazasida 700 dan ortiq imzo mavjud zararli skriptlar. Imzolar oddiy iboralar bo'lib, ular, masalan, na LMD ClamAV, na ish stoli antiviruslari topa olmaydigan noaniq qobiq va orqa eshiklarni topishga imkon beradi:

Imzolar bazasi muntazam ravishda Revision mutaxassislari va skript foydalanuvchilari tomonidan topilgan yangi namunalar bilan yangilanadi, bu esa skanerni yangilab turish imkonini beradi.

AI-Bolit interfeysi

AI-Bolit interfeysi juda oddiy. Bu ishlay oladigan PHP skripti buyruq qatori PHP CLI orqali yoki http://site/ai-bolit.php?p=password URL manzili bilan brauzerda oching.

Skriptning natijasi to'rt qismdan iborat hisobotdir:

1. Statistika va umumiy ma'lumot skript haqida.
2. Topilgan qobiqlar, viruslar va boshqa zararli kodlar (yoki zararli kodga o'xshash fragmentlar) ro'yxati bilan tanqidiy sharhlarning qizil qismi.
3. Apelsin ogohlantirish bo'limi (ko'pincha xakerlik vositalarida ishlatiladigan shubhali kod qismlari).
4. Tavsiyalarning ko'k bo'limi (yozish uchun ochiq kataloglar ro'yxati, PHP sozlamalari va boshqalar).

Foydalanuvchi olingan hisobotni parchalarni ko'rish orqali tahlil qiladi, zararli skriptlar va kod qismlarini qo'lda topadi va o'chiradi, buyruq qatori vositalari yoki fayllardagi satrlarni qidirish va almashtirish dasturlari yordamida qo'lda.

Virus skaneri ishlab chiquvchisi odatda duch keladigan asosiy muammo skanerning "paranoidligi" (sezuvchanligi) va noto'g'ri musbatlar soni o'rtasidagi oltin o'rtachani topishdir. Agar siz zararli kodni qidirish uchun faqat qattiq satrlardan foydalansangiz, skanerning samaradorligi past bo'ladi, chunki tushunarsiz bo'laklar, bo'shliqlar va yorliqlar bilan kod yoki aqlli formatlangan kod topilmaydi. Agar siz moslashuvchan naqshlar bo'yicha qidirsangiz, kafolatlangan xavfsiz skriptlar zararli deb belgilangan bo'lsa, noto'g'ri ijobiy natijalar ehtimoli yuqori.

AI-Bolitda men qaror qilaman bu muammo taniqli CMS uchun ikkita ish rejimi ("normal"/"mutaxassis") va oq varaqlar yordamida.

AI-Bolit kelajagi

Skriptni ishlab chiqish rejalari ko'p sonli foydali xususiyatlarni va boshqa antivirus echimlari bilan integratsiyani o'z ichiga oladi. Biri asosiy fikrlar AI-Bolitning ClamAV va LMD ma'lumotlar bazalari bilan integratsiyalashuvidir. Shunday qilib, AI-BOLIT nazorat summalari yordamida rootkit va qobiqlarni qidirishi mumkin bo'ladi.

Amalga oshirish uchun navbatdagi ikkinchi muhim narsa foydalanuvchilar uchun qulay interfeys qidiruv va moslashuvchan filtrlar yordamida jadvalli hisobotlarni tahlil qilish uchun. Topilgan fayllarni kengaytma, o'lcham bo'yicha tartiblash, nazorat summalari va boshqalar bo'yicha filtrlash mumkin bo'ladi.

Uchinchi nuqta - AJAX yordamida asinxron skanerlashni amalga oshirish, bu protsessor iste'moli yoki skriptning ishlash muddati cheklangan zaif hostinglarda joylashtirilgan saytlarni skanerlash muammosini hal qiladi. Ayni paytda buni faqat saytning nusxasini mahalliy yoki boshqa, kuchliroq serverda skanerlash orqali hal qilish mumkin. Va, albatta, zararli kod imzosi ma'lumotlar bazalarining doimiy yangilanishi.

Nihoyat

Skript kodi ochiq, GitHub-da joylashtirilgan, shuning uchun har kim rivojlanishga hissa qo'shishi mumkin ushbu loyihadan. Menga taklif va istaklaringizni yuboring [elektron pochta himoyalangan].

Muammoli vaziyat mavjud - virusli sayt.

Endi men ushbu virusni qanday qilib osongina topish va yo'q qilish mumkinligini ko'rsataman. Siz qilishingiz kerak bo'lgan birinchi narsa - saytni mahalliy tilga yuklab olish - fayllar to'plamini tekshirish ancha oson.

Ushbu matn video tavsifidan olingan, shuning uchun u biroz xaotik va zerikarli. Biroq, mening qolgan yozuvlarim)

Biz filezilla-ni yuklab olamiz. Men uni to'g'ridan-to'g'ri o'rnatilgan mahalliy serverga yuklab olaman - Open Server - to'satdan kerak bo'lsa, uni mahalliy sifatida ishga tushirishim mumkin.

Agar sizda fayllarni tezda skanerlaydigan antivirus o'rnatilgan bo'lsa, hatto yuklab olish paytida ham ba'zi fayllarda viruslarni topishingiz mumkin. Mening antivirusim jurnallariga qarang.

Mening holimda mening Microsoft xavfsizligi hech narsa ko'rsatmadi - virus unga noma'lum bo'lib chiqdi.

Qidirish uchun men maxsus antivirusdan foydalanaman - Aibolit. Dasturchi veb-sayti http://revisium.com/ai/
Seminarga kelib tomosha qilishingizni maslahat beraman. Fayllar hali ham yuklab olinmoqda, bu ko'p vaqt oladi. Menda allaqachon mahalliy nusxa tayyor, men kecha bu antivirus bilan o'ynagan edim.

Shunday qilib, ish uchun bizga hali ham Windows uchun PHP kerak. Bu yerdan yuklab oling http://windows.php.net/download/ oxirgi versiya derazalar uchun zip arxivi e) o'zingiz uchun qulay joyda oching.

KELISHDIKMI. Tayyorgarlik ishlari tugadi. Endi ishlash uchun.

Arxivni iBolit bilan yuklab oling.

Ichkarida uchta jild mavjud:

• ai-bolit antivirusning haqiqiy yadrosidir
• ma'lum_fayllar - turli dvigatellar uchun virusga qarshi fayl ma'lumotlar bazalarining versiyalari
• asboblar - yordamchi yordamchi dastur.

Shunday qilib, saytni viruslarga qarshi davolashni boshlaylik.

1. Barcha fayllarni ai-bolit jildidan sayt ildiziga nusxalash
2. Agar bizda qanday dvigatel borligini bilsak, ma'lum_files papkasida CMS bilan papkani tanlaymiz va barcha fayllarni ildizga joylashtiramiz. Mening holimda, WordPress dvigateli, keyin biz WordPress uchun antivirus ma'lumotlar bazalari bilan viruslarni davolaymiz. Agar siz hamma narsani umuman tekshirmoqchi bo'lsangiz, barcha dvigatellardan virusga qarshi ma'lumotlar bazalarini to'ldirishingiz mumkin - ehtimol u ko'proq narsani topadi)
3. Yana unutib qo'ydim - iBolit sozlamalarida ekspert ish rejimini belgilashingiz kerak. Buning uchun matn muharriri ai-bolit.php faylini oching va define(‘AI_EXPERT’, 0) qatorini toping; "0" ni "1" ga o'zgartiring va hammasi - ekspert rejimi yoqilgan.
4. Endi biz PHP bilan zip arxivimizni u bilan ishlash qulay bo'lgan papkaga ochishimiz kerak. Bizga fayl kerak - php.exe
5. Endi biz antivirusimizning bajariladigan faylini ishga tushirishimiz kerak. Buning uchun ai-bolit.php ni ikki marta bosing. Menda allaqachon ushbu skriptni qanday ishga tushirishni tanlash imkoniyati bor.

Men faqat yuklanganlar papkasini va mavzu papkasini saqlashni maslahat beraman. Barcha plaginlar yuklab olinadi, sozlamalar ma'lumotlar bazasida qoladi - viruslar ularga tegmaydi. Mavzuni barcha fayllarni qo'lda tekshiring - xayriyatki, bu erda ularning ko'pi yo'q, agar sayt noaniq dizayn dizayneri tomonidan tuzilmagan bo'lsa. Va dvigateldagi barcha narsalarni to'ldiring. bu eng ishonchli yo'l.

Shuni ham eslatib o'tamanki, sizda butun hosting akkauntingizda viruslar bo'lishi mumkin (juda kamdan-kam hollarda ular turli foydalanuvchilarning hisoblari o'rtasida o'tishga muvaffaq bo'lishadi, faqat hosting ma'muri egri odam bo'lsa).

Agar biron sababga ko'ra iBolit saytdan o'chirilgan bo'lsa, siz har doim mendan sayt uchun antivirusni yuklab olishingiz mumkin

Viruslar achinarli(

PS: allaqachon topilgan viruslarni tozalash bo'yicha ikkita maqola:

• Oddiyroq - veb-saytdan virusni qanday qilib bepul olib tashlash mumkin
• Ilg'or uchun -

Noxush holatlar bizni hayratga soladi. Ba'zida ba'zi foydalanuvchilar o'z veb-saytlarida zaifliklari bo'lgan dasturlarni o'rnatadilar. Yoki tajovuzkorlar "teshiklar" ni topadilar dasturiy ta'minot, bu erkin tarqatiladi. Bunday "teshiklar" ni topgandan so'ng, xakerlar jabrlanuvchining hisobidan foydalanishni va zararli narsalarni kiritishni boshlaydilar dastur kodi, har qanday xaker qobiqlari, orqa eshiklar, spam jo'natuvchilar va boshqa zararli skriptlar.

Afsuski, ba'zi foydalanuvchilar o'z saytlarida dasturiy ta'minotni o'z vaqtida yangilamaydilar va bunday hujumchilar qurboniga aylanishadi

Muammoning mohiyati

Bizning server dasturimiz ko'p hollarda zararli yukni aniqlaydi va "yomon" faoliyatni avtomatik ravishda yo'q qiladi.

Zararli dastur aniq nima qiladi? Turli xil narsalar: spam yuboradi, boshqa resurslarga hujumlarda qatnashadi va hokazo... Bunday viruslarning yorqin misollaridan biri bu “MAYHEM – *NIX serverlari uchun ko‘p maqsadli bot”. Masalan, Yandex mutaxassislari ushbu virusni o'z bloglarida juda mashhur tushuntiradilar yoki

Hostland doimiy ravishda o'z mijozlarini viruslarga qarshi kurashish uchun yangi vositalar bilan xursand qiladi!

Biz sizga hisobingizdagi viruslarni, zararli va xakerlik skriptlarini, imzolar va moslashuvchan naqshlarga asoslangan qobiqlarni, oddiy evristikaga asoslangan qobiqlarni - oddiy antiviruslar va skanerlar topa olmaydigan barcha narsalarni qidirish uchun juda qulay va bepul vositani taqdim etamiz.

Biz "Revision" kompaniyasidan "AI-Bolit" foydalanuvchimizni tanishtiramiz.

AI-Bolit skanerining imkoniyatlari:

• Hacker PHP va Perl skriptlarini (qobiqlar, orqa eshiklar), virus qo'shimchalarini, eshiklarni, spam jo'natuvchilarni, havolalarni sotish skriptlarini, yashirin skriptlarni va boshqa turdagi zararli skriptlarni qidiring. Shablonlar bo'yicha qidirish va muntazam iboralar, shuningdek, potentsial zararli kodni aniqlash uchun oddiy evristikadan foydalanish
• Muhim zaifliklarga ega skriptlarni qidiring (timthumb.php, uploadify, fckeditor, phpmyadmin va boshqalar)
• PHP saytlari uchun odatiy bo'lmagan skriptlarni qidiring (.sh, .pl, .so va boshqalar).
• Shifrlangan, parchalangan matn bloklari va hex/okt/dec kodlangan ketma-ketlikda imzolarni qidiring
• Zararli skriptlarda ishlatiladigan tuzilmalar bilan shubhali fayllarni qidiring
• Qidirmoq yashirin havolalar fayllarda
• Ramziy havolalarni topish
• Qidiruv va mobil qayta yo'naltirishlar uchun kodni qidiring
• auto_prepend_file/auto_apppend_file, AddHandler kabi ulanishlarni qidiring
• iframe qo'shimchalarini qidiring
• cms versiyasi va turini aniqlash
• Qidirmoq yashirin fayllar
• Qidirmoq. php fayllari qo'sh kengaytmali, .php fayllar, GIF tasvirlar sifatida yuklangan
• Shubhali darajada ko'p sonli php/html fayllarini o'z ichiga olgan eshiklar va kataloglarni qidiring
• Bajariladigan ikkilik fayllarni topish
• Hisobotdagi fayllar ro'yxatini qulay filtrlash va saralash
• Rus tilida interfeys

Yana nimani bilish muhim?

Agar AI-Bolit yordamida hisobingizda zararli dastur topilgan bo'lsa, bu fayllarni shunchaki o'chirish saytingiz zaifligi muammosini hal qilmaydi.

Siz xaker qanday qilib saytingizga "yomon" skript kiritishga muvaffaq bo'lganini bilib olishingiz kerak, uning dasturiy ta'minotida "teshik" toping. Ba'zan bu FTP kirish parollarini o'zgartirishni, sayt mexanizmini yangilashni talab qiladi, ba'zida server jurnali fayllarini o'rganish kerak (agar ular o'chirilgan bo'lsa, ularni yoqing), ba'zida siz uchinchi tomon xavfsizlik bo'yicha mutaxassisni jalb qilishingiz kerak.

Va yuqoridagi chora-tadbirlarning butun majmuasi veb-saytingizning xavfsizlik muammosini hal qilishda eng yaxshi yordam bo'ladi!

Barcha zararli skriptlar aniqlanishiga kafolat berish mumkin emas. Shu sababli, skaner ishlab chiqaruvchisi va xosting provayderi AI-Bolit skanerining ishlashi paytida noto'g'ri pozitivlarning mumkin bo'lgan oqibatlari yoki funksionallik va imkoniyatlarga nisbatan foydalanuvchining asossiz kutishlari uchun javobgar emas.

Siz skript qanday ishlashi haqida sharhlar va takliflarni, shuningdek, aniqlanmagan zararli skriptlarni yuborishingiz mumkin. [elektron pochta himoyalangan].

o'n minglab veb-ustalar va server ma'murlari tomonidan allaqachon foydalanilgan yangi avlod viruslari va zararli dasturlar skaneri.

U veb-saytlar buzilganda xakerlar tomonidan yuklab olingan viruslar, xakerlik skriptlari, fishing sahifalari, eshiklar va boshqa turdagi zararli skriptlarni qidiradi.

Agar saytingizda muammolar bo'lsa, masalan:

• antiviruslar veb-sayt sahifalariga kirishni bloklaydi,
• sahifalarda boshqa odamlarning havolalari paydo bo'ldi
• sodir bo'lmoqda mobil qayta yo'naltirish smartfon yoki planshetdan tizimga kirganingizda,
• qatnashish keskin kamaydi
• tashrif buyuruvchilar viruslar haqida shikoyat qiladilar,
• spam yuborish uchun bloklangan xatlarni joylashtirish,
• sayt xakerlik hujumiga uchragan degan gumon bor

AI-Bolit skaneri notijorat maqsadlarda foydalanish uchun bepul; har qanday veb-ustasi skanerni saytga yuklashi va o'z manbasini viruslar va xakerliklarga tekshirishi mumkin.

AI-Bolit ko'plab rus hosting provayderlari tomonidan tavsiya etiladi, ularning ba'zilari allaqachon boshqaruv paneliga skaner o'rnatgan. virtual hosting, bu hisob egasiga bir marta bosish orqali virusga qarshi tekshiruvni amalga oshirish imkonini beradi.

Skaner mutaxassislari tomonidan ishlab chiqilgan axborot xavfsizligi Veb-saytlarni davolash va xakerlikdan himoya qilishga ixtisoslashgan revizyon kompaniyasi.

Har kuni veb-saytlarni davolash va tiklashda Revizium mutaxassislari yangi zararli skriptlarni va zararli kodni yashirishning yanada murakkab usullarini topadilar. Ushbu ma'lumot skaner algoritmini sozlash va qoidalar bazasini to'ldirish uchun ishlatiladi, bu esa AI-Bolit skanerini har bir yangi versiyada yanada samaraliroq qiladi.

AI-Bolit skanerining o'ziga xos xususiyati nimada?

Zamonaviy serverga asoslangan zararli dasturlar skanerlarining zaif tomoni zararli dasturlarni va ularning antivirus bazasini aniqlashga yondashuvidir. Server antiviruslari belgilangan parametrlar (fayl nazorat summasi, xesh, string fragmentlari) yordamida virus va xaker kodlarini qidiradi. Shu bilan birga, zamonaviy zararli skriptlarni ishlab chiquvchilari kod shifrlash yordamida skanerlarni aldashni o'rgandilar, bu har bir yangi nusxani avvalgisidan farq qiladi: ular o'zgaruvchan xiralashtirish, bajariladigan kodni shifrlash, bilvosita qo'ng'iroqlar va boshqa yondashuvlardan foydalanadilar. Shuning uchun viruslarni qidirishning eski usullari endi ishlamaydi. Agar ilgari tizim administratori buyruqni bajarish kifoya edi

Toping -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_POST" topish -turi f -name "*.php" -print0 | xargs -0 fgrep -l "agar (hisoblash($_POST))< 2) { die(PHP_OS.chr(" find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "base64_decode($_REQUEST" find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST" find ~/domains/ -type f -name "*.php" -print0 | xargs -0 fgrep -l "eval($___($__)" find \(-regex ".*\.php$" -o -regex ".*\.cgi$" \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|filesman" find -type f -name "*.php" -print0 | xargs -0 fgrep -l "Euc

Barcha xakerlik qobig'ini qidirish uchun endi bu etarli emas, chunki xakerlik veb-qobig'i quyidagicha ko'rinadi:

Va u o'zining tuzilishini va satr tasvirini o'zgartiradi.

Bizga zararli kodni qidirish uchun yanada samarali mexanizm kerak. Shuning uchun, AI-Bolit biroz boshqacha yondashuvni qo'llaydi.

Zararli kodni qidirishda skaner dastlabki kodni dastlabki normallashtirishdan, oddiy ifoda qidiruv tizimidan va evristik qoidalardan foydalanadi. Bularning barchasi birgalikda veb-qobiqlar va orqa eshiklarning kodlangan modifikatsiyalarini, shuningdek, yangi, hali noma'lum viruslar va xakerlik skriptlarini aniqlashga, ularni muqobil parametrlar bo'yicha aniqlashga imkon beradi (masalan, agar manba kodi xakerlik skriptlari uchun odatiy qo'ng'iroqlardan foydalansa, fayllar. nostandart fayl atributlari va boshqalar bo'yicha tasodifiy yaratilgan nomlarga ega). Zararli dasturlarni aniqlashning ilg‘or algoritmidan foydalanish AI-Bolit skaneriga polimorfik xarakterdagi shifrlangan fragmentlarni topish imkonini beradi. Masalan, bular:

Tajribalar natijasida AI-Bolit xakerlik skriptlarini ClamAv va MalDet-ga qaraganda ancha yuqori aniqladi, ular ko'plab xosting-saytlarda bepul antivirus yechimlari sifatida qo'llaniladi.

AI-Bolit skaneri qanday ishlaydi

Saytni tekshirish uchun skanerni sayt katalogiga yuklab olish kifoya (xostingda yoki saytning zaxira nusxasi bo'lgan mahalliy kompyuterda) va uni ishga tushiring. Brauzer brauzerda ochilishi yoki SSH orqali buyruq qatori rejimida ishga tushirilishi mumkin. Bundan tashqari, AI-Bolit saytning zaxira nusxasini kompyuteringizda mahalliy sifatida tekshirishi mumkin.

Sayt auditining natijasi html yoki matn formatidagi batafsil hisobot bo'lib, uni avtomatik ravishda elektron pochta orqali yuborishi mumkin.

Saytda batafsil video ko'rsatmalar va yangi boshlanuvchilar uchun qo'llanma mavjud.

Sizning saytingiz buzilganiga ishonchingiz komilmi?

Aksariyat veb-sayt egalari o'z veb-saytlari buzilganligidan bexabar va ularga xakerlik skriptlari yuklangan. Shuning uchun saytlaringizni hoziroq AI-Bolit skaneri bilan tekshirishni tavsiya qilamiz. Agar skaner hisoboti haqida savollaringiz boʻlsa, uni [email protected] manziliga (.zip arxivi koʻrinishida) “Revision” manziliga yuboring, biz sizga buni tushunishga yordam beramiz.

Skaner yangilanishlari bizning Twitter sahifamizda e'lon qilinadi