Скрипт для поиска вредоносного ПО на сайте
  • Написал небольшой скрипт, который позволяет искать шеллы по сигнатурам (более 40), а также дорвеи, несанкционированные редиректы через .htaccess, код продажи ссылок sape/trustlink/linkfeed (возможно, не ваш) , отображает список каталогов, открытых на запись и всякую другую полезную мелочевку.

    Пользуюсь сам для вычищения зла с сайтов клиентов и своих собственных. Скрипт постоянно обновляется. Велкам!

    Скачать со страницы: http://revisium.com/ai/

    Если скрипт понравится, буду благодарен, если вы расскажете о скрипте знакомым или друзьям.

    Спасибо.

    З.Ы.

    Если найдутся шеллы или дорвеи, которые не определились скриптом, пожалуйста, пришлите их. Я добавлю в базу. Конструктивная критика всячески приветствуется.
  • Скрипт активно обсуждается на серче и вебмастерсе:

    http://forum.searchengines.ru/showthread.php?p=10263575
    http://webmasters.ru/forum/f26/skript-pois...hostinge-27796/
  • Новая версия 20120422:

    - добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт)
    - при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
    - красивый размер файлов
    - затраченное время на сканирование
    - ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)
    - новые сигнатуры JS

    Качать здесь: http://revisium.com/ai/
  • Новое в версии 20120512:

    - добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв.  Теперь кол-во детектируемого зла вырастет в разы.
    - три новых сигнатуры JS вируса
    - три сигнатуры шелла
    - добавлена проверка .phtml и .shtml по-умолчанию
    - исправлена ошибка отображения файлов с невидимыми ссылками

    Рекомендую скачать и проверить ваши сайты.
  • Изменения в версии 20120613 

    - добавлены 6 сигнатур шеллов
    - добавлены 3 сигнатуры JS вирусов
    - добавил вызов set_time_limit(0) в скрипт
    - исправлена работа с расширениями для php
    - учитывается .phtml при проверке на сигнатуры, добавлено расширение .khtml
    - добавлено детектирование auto_append_file/auto_prepend_file в .htaccess
    - вывод списка найденных невидимых ссылок
    - добавил определение stripos, если ее нет в PHP
    - исправлено несколько мелочей


    Рекомендую проверять хостинг в режиме "все файлы" хотя бы раз в месяц. В качестве бонуса вот еще статейку написал: http://www.revisium.com/kb/protect_advice.html
  • Изменения в версии 20120622

    - появился список игнорируемых файлов .aignore
    - добавлена возможность просмотра файла
    - добавлены сигнатуры шеллов
    - есть возможность скрыть в отчете показ директории открытых на запись
    - в подозрительные добавлены подстроки, появляющиеся в обфусцированных скриптах
    - добавлена проверка на наличие хакерских тулзов для FreeBSD
    - несколько багфиксов

    Теперь можно ткнуть в имя файла и посмотреть его полное содержимое. 
    А еще в этой версии я все-таки решил реализовать список игнорируемых файлов (по фрагменту имени и контрольной сумме). Можно вручную создать файл .aignore и положить в него 

    фрагмент имени файла1<табуляция>контрольная сумма1
    фрагмент имени файла2<табуляция>контрольная сумма2
    ...

    А можно просто кликать по значениям столбца CRC32, а потом внизу скопировать из формы содержимое в файл. Если вам надоело наблюдать длинный список ложносрабатываемых файлов из джумлы, tinyMCE, vBulletin или друпала, просто создайте свой собственный .aignore и положите его рядом с ai-bolit.php.

    Качаем свежую версию http://revisium.com/ai/ с обновленными сигнатурами.
    Скоро сделаю еще много полезных фишек в скрипте. Следите за апдейтами.

  • Выпустил новую версию AI-BOLIT.

    Изменение в версии 20120902

    - обновлена база сигнатур
    - часть директорий можно исключить из сканирования, добавив их в .adirignore файл (поддерживаются фрагменты и метасимволы регулярных выражений) 
    - улучшен алгоритм поиска подозрительных файлов с сигнатурами <?php и <%
    - добавлена возможность запуска полного сканирования из браузера через аргумент "&full"
    - добавлен поиск исполняемых файлов linux в сканируемых папках

    Рекомендую скачать и проверить ваши сайты.

  • Проверит на тестовом сайте (изначально известно, что он заражен). Ai-bolit нашел все верно :-)
    Так что мегаполезный скрипт.
  • Новый релиз AI-BOLIT. Самое заметное в этом обновлении - это большое количество новых сигнатур шеллов, вирусов и другого вредоносного ПО, которое я находил за последний месяц у клиентов (теперь в базе кроме шеллов еще irc боты, спам-рассыльщики и другая зараза). 

    Изменение в версии 20121014

    - новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
    - игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
    - добавился блок показа конфигурации PHP при запуске из браузера и что надо "подкрутить"
    - реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli (решает проблему с памятью)
    - улучшена обработка внешних include и iframe вставок
    - новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
    - улучшенное отображение прогресса сканирования в командной строке
    - добавлен режим отладки скрипта DEBUG_MODE

    Очень рекомендую скачать обновление и проверить свой сервер. 


    Если обнаружите проблемы со скриптом, пишите в личку.
  • Новая версия AI-BOLIT. Изменение в версии 20121106:

    - новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
    - автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
    - поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
    - исправлен Warning с ereg()

    Качать отсюда: http://revisium.com/ai/

    Рекомендую перепроверить ваши сайты новой версией AI-BOLIT с запуском из командной строки (через SSH). 

    Пользуясь случаем - анонсирую новый сервис для проверки серверного мобильного редиректа: http://zorrobot.ru/tool/ (сервис будет по мере возможности расширяться, и еще, наверное, проверять вирусы и т.п.)
  • Изменения в версии 20130201

    - новые сигнатуры
    - файл отчета запрещен к индексированию
    - в имени файла отчета добавляется случайное число для защиты от подбора имени
    - добавлен .aknown файл для Wordpress 3.5.1


  • Ценный скрипт. 
    Уже не раз выручал
    Мои благодарности и самые лучшие рекомендации
  • Новая версия скрипта AI-BOLIT

    Изменения в версии 20130519

    - Добавлены новые сигнатуры вирусов и шеллов
    - Детектирование двойных расширений .php.<что-то>
    - Добавлен аргумент -j (--file) для сканирования конкретного файла
    - Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8
    - Разные мелкие исправления

    Качаем здесь: http://revisium.com/ai/
  • Новая версия скрипта AI-BOLIT 20130609:

    - Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
    - Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге. 
    - Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

    Качаем здесь http://revisium.com/ai/
  • Новая версия скрипта AI-BOLIT 20130909:

    - Добавлено много новых сигнатур вирусов и шеллов
    - Добавлены .aknown файлы для Joomla 2.5.14 / 3.1.5, Wordpress 3.6
    - Добавлены новые сигнатуры в .aignore файл

    Качаем, проверяем свой сайт http://revisium.com/ai/
  • Новая версия AI-BOLIT.

    Изменения в версии 20131025:
    - Новые сигнатуры шеллов и вирусов
    - Уменьшено кол-во ложных срабатываний
    - Новые .aknown файлы
    - Небольшое изменение в отчете относительно отображения двойных расширений

    Качаем здесь http://revisium.com/ai/&nbsp;

  • Биржа поискового трафика продает качественный, целевой трафик всего по 5 руб./за переход! Средняя конверсия трафика 1:10!!! НОВЫЙ трафик по качеству YANDEX.DIRECT и по цене тизера! Покупайте трафик по ссылке www.poisktraff.meelgroupltd.com.ua/index.php?ref=yulf1515
  • Новая версия скрипта AI-BOLIT

    Изменения в версии 20140103
    - Новые сигнатуры
    - работа с UTF8 файлами
    - исправлена ошибка в декодировщике
    - режим работы: "простой" и "эксперт"
    - добавлены .aknown файлы для wordpress 3.7.1 / 3.8, modx 2.2.8, joomla 2.5.17 / 3.2.1

    Внимание! По умолчанию включен режим сканирования "обычный". Это минимизирует кол-во ложных срабатываний, но снижает эффективность поиска вредоносного кода. Поэтому, если вы раньше пользовались скриптом, перед запуском поменяйте режим на "'эксперт".
    См. инструкцию внутри архива.

    Качаем здесь http://revisium.com/ai/


    Бонусом идет полезная статья про заблуждения о защите сайтов и безопасности:
    http://www.revisium.com/kb/delusions.html
  • Очень хороший скрипт. Благодарность за него автору.
  • Новая версия AI-BOLIT.

    Изменения в версии 20140303
    - Изменено форматирование отчета, добавлены счетчики найденных вредоносов
    - Добавлены .aknown файлы для Wordpress 3.8.1, DLE 10.1, Bitrix 14, Joomla 2.5.18 и Joomla 3.2.2
    - Новые сигнатуры шеллов и бэкдоров в базе
    - Уменьшено кол-во ложных срабатываний

    Качаем, проверяем: http://revisium.com/ai/

    P.S. Бонус-треком сегодня будет анонс блога: http://www.revisium.com/ru/blog/
    P.P.S. В мартовском журнале "Хакер" вышла статья про Ai-Bolit.
  • Мегарелиз AI-BOLIT 20140417:

    - Удобный интерфейс для работы с отчетом (для данной возможности нужно иметь подключение к интернету во время просмотра отчета):
    * доступны фильтр/поиск по подстроке
    * доступны сортировка по типам сигнатур, по дате и времени, по размеру, по контрольной сумме
    * доступно скрытие строк (файлов) с одинаковыми сигнатурами
    - Точное определение версий 13 типов cms (см. в конце отчета)
    - Добавлены .aknow файлы для wordpress 3.9, drupal 6.28, 6.31, 7.27, 7.4, 7.5, 7.6, 7.7, 8.0.alpha, 9.x.dev
    - Добавлен файл tools/aknow_producer.php, позволяющий генерировать свои .aknown файлы.
    - По-умолчанию сделан режим "Эксперт". Кого пугает много "красного цвета", можно перевести скрипт в режим "экспресс-сканирование" согласно инструкции
    - Традиционно новые сигнатуры вирусов и хакерских скриптов

    Качаем, проверяем http://revisium.com/ai/


    Бонус-треком сегодня идет статья о том, что AI-BOLIT лучше остальных сканеров ищет вредоносный код: http://habrahabr.ru/post/218723/

Привет, незнакомец!

Похоже, Вы новенький! Чтобы начать обсуждение, кликните на одну из кнопок ниже ;)

Войти с помощью OpenID

Категории

В этой теме: