Ai-Bolith-effektiver Virenscanner und anderer schädlicher Code zum Hosting
Wir werden oft gefragt - was ist die Einzigartigkeit des ai-bolitischen Scanners? Was unterscheidet sich von anderen ähnlichen Werkzeugen, um einen schlechten Code zu finden, z. B. Maldet, Clamav oder sogar Desktop-Antiviren? Eine kurze Antwort - es erkennt besser einen schädlichen Code, der in PHP und Perl geschrieben ist. Warum? Die Antwort ist unten.
Jeden Tag werden schädlicher Code (Hacker-Webschalen, Backdors usw.) anspruchsvoller und komplexer. Zusätzlich zu den Ordnungen der Bezeichner und des Verschlüsselungscodes
unbörte, implizite Funktionen ruft Methoden mit anrufbaren Argumenten, Handler-OB- und indirekten Merkmalen auf.
Auch bösartige Skripte mit linearer Struktur und fester Bezeichner bleiben erhalten. Der Code versucht, sich zu verschleiern und so viel wie möglich zu machen, "polymorph"
oder umgekehrt, machen Sie das einfachste und ähnliches dem üblichen Skript.
Manchmal ist es manchmal, ein schädliches Skript zu analysieren, es ist unmöglich, ein festes Fragment auszuschalten, wonach sie eindeutig von "böswillig identifiziert wurde. Natürlich kann ein solcher schädlicher Code auf einer einfachen Signaturdatenbank (Antivirus-Base) nicht gefunden werden, die in der überwältigenden Mehrheit von Web-Antiviren und Scannern auf dem Hosting verwendet wird. Um effektiv nach modernen Malware zu suchen, müssen komplexere Techniken zur Bestimmung von viralen Mustern und in einigen Fällen Heuristiken verwendet werden. Es ist dieser Ansatz, den wir im ai-bolitischen Malware-Scanner anwenden.
Die Verwendung einer großen Basis der ständigen Verbesserung von flexiblen Mustern, die auf regulären Ausdrücken basiert, die Verwendung zusätzlicher heuristischer Analyse, die auf der Grundlage des Scannens einer großen Anzahl von infizierten Standorten entwickelt wurde, ermöglichte es, den AI-Bolit-Scanner am effizientesten und aktiv zu gestalten Gebrauchte Administrator- und Webentwickler-Tool.
AI-Bolit hat auch dank einer einfachen Schnittstelle und der freien Nutzung nicht-kommerzieller Zwecke einen breiten Ruhm erhalten. Jeder Webmaster kann AI-Bolit von der offiziellen Seite http://revisien.com/ai/ absolut kostenlos herunterladen und Ihre Ressource für Hacker-Muscheln, Backdors, Dorev, Viren, SPAM-Absturz, versteckte Referenzen und andere böswillige Fragmente und Einsätze überprüfen. Der Scanner wird auch aktiv von Handelsunternehmen - Webstudios, Hosting-Unternehmen und Internet-Agenturen zur Überprüfung und Behandlung von Client-Sites verwendet. Die Hosters integrieren den AI-Bolit in das Systemsteuerung, Webentwickler, um nach schädlichem Code und in ihren eigenen Standortüberwachungsdiensten zu suchen.
Nachfolgend geben wir nur eine kleine Liste von AI-Bolit-Scanner-Funktionen:
- führen Sie von der Konsole und dem Browser aus
- drei Scanmodi ("einfach", "Expert", "paranoid") und zwei Betriebsmodi ("Express" und "Vollschaufasten")
- suche nach Hacker PHP- und Perl-Skripts (Muscheln, Backdors), Viruseinsätze, Straßen, SPAM-Absturz, Skripts verkaufen Links, Taktskripts und andere Arten bösartiger Skripts. Suchen Sie nach Vorlagen und regelmäßigen Ausdrücken sowie die Verwendung von Heuristiken, um den potenziellen schädlichen Code zu ermitteln
- suchen Sie nach Signaturen in verschlüsselten, fragmentierten Textblöcken und kodierten Hex / OCT / DEC-Sequenzen
- suche nach verdächtigen Dateien mit Strukturen, die in böswilligen Skripten verwendet werden
- suche nach versteckten Links in Dateien
- suche nach symbolischen Links
- suche nach Such- und Mobile-Redirekten-Code und vieles mehr.
Offizielle Skriptseite.
Es gibt ein Problemszenario - Site mit Viren.
Jetzt werde ich zeigen, wie dieses Virus leicht zu finden und zu zerstören ist. Zunächst müssen Sie die Site auf das Gebietsschema herunterladen - da es so viel einfacher ist, die Mailing-Dateien zu überprüfen.
Dieser Text stammt aus der Beschreibung des Videos, denn es ist etwas unordentlich und langweilig. Der Rest ist jedoch mein Schriftsteller)
Download wird Dateien eingereicht. Ich download i, ich werde sofort auf dem installierten lokalen Server-Open-Server - was lokal ausgeführt werden sollen, plötzlich benötigen.
Wenn Sie ein Antivirus installiert haben, der die Dateien in der FLY überprüft - besteht die Möglichkeit, dass Sie in einigen Dateien Viren beim Herunterladen finden. Schau in die Protokolle meines Antivirus.
In meinem Fall zeigte meine Microsoft-Sicherheit nichts - das Virus war ihm unbekannt.
Um zu suchen, benutze ich ein spezielles Antiviren - AIBOLIT. Entwickler-Site http://revisium.com/ai/
Ich berate, dass Sie gehen, das Seminar ansehen. Dateien werden noch heruntergeladen, es ist lange Zeit. Ich habe bereits eine fertige lokale Kopie, ich habe gestern mit Antivirus gespielt.
Wir brauchen also auch PHP für Windows. Laden Sie hier http://windows.php.net/download/ die neueste Version für Windows im ZIP-Archiv. Irgendwo auspacken, wo Sie sich wohl fühlen würden.
Okay. Vorbereitung endete. Jetzt zu arbeiten.
Laden Sie das Archiv mit AIBOLIT herunter.
Innerhalb von drei Ordnern:
- ai-Bolith - Antivirus-Kernel selbst
- comment_Files - Versionen von Anti-Virus-Datenbanken von Dateien für verschiedene Motoren
- werkzeuge - ein Rummy-Dienstprogramm.
Gehen Sie also zur Behandlung der Site von Viren vor
- Kopieren Sie im AI-Bolit-Ordner alle Dateien in die Site-Root
- Wenn wir wissen, welche Art von Motor wir haben, wählen Sie den Ordner mit unserem CMS im Ordner CESTIVE_FILES und werfen Sie alle Dateien in die Wurzel. In meinem Fall WordPress Engine werden wir von Viren Antivirus-Datenbanken für WordPress zittern. Wenn Sie alles überprüfen möchten, können Sie Anti-Virus-Basen aus allen Motoren gießen - vielleicht wird es etwas mehr finden)
- Ich habe wieder vergessen - Sie müssen den Expertenmodus in den AIBOLIT-Einstellungen angeben. Dazu öffnen wir die ai-bolith.php-Datei in den Texteditor und suchen dort die Definitionszeile ('ai_expert', 0); Wir ändern "0" auf "1" und alle - der Expertenmodus ist enthalten.
- Jetzt müssen Sie unser ZIP-Archiv mit PHP in einen Ordner auspacken, in dem es bequem damit arbeiten würde. Wir brauchen eine Datei - php.exe
- Jetzt müssen Sie die ausführbare Datei unseres Antivirus ausführen. Dafür, zweimal durch Klicken auf AI-BOLIT.php. Ich bin bereits bereit, dieses Skript auszuführen.
Ich würde Ihnen raten, nur den Ordner Uploads und den Ordner mit Ihrem Thema zu speichern. Plugins, um alles zu werfen, bleiben die Einstellungen in der Datenbank - ihre Viren berühren sich nicht. Sie überprüfen manuell alle Dateien - der Vorteil von ihnen gibt es ein bisschen, wenn der Standort kein Spinner-Brandy ist. Und alles andere im Motor, um Nanoovo zu gießen. Dies ist der zuverlässigste Weise.
Und ich erinnere mich auch daran - die Viren haben am wahrscheinlichsten über das gesamte Hosting-Konto (sehr selten schaffen sie es, zwischen Berichten verschiedener Nutzer nur im TMO-Fall zu springen, wenn Admin, wenn Admin-Gastgeber Krivaruk beherbergt.)
Wenn der Standort aus irgendeinem Grund AIBOLIT entfernt wird, können Sie den Antivirus immer für den Standort herunterladen
Viren sind traurig (
PS: Zwei Artikel, wie man die bereits gefundenen Viren reinigen:
- Einfach - So entfernen Sie den Virus von der Website selbst
- Für Fortgeschrittene -
Vor kurzem hat ich auf einem seiner Projekte das Auslösen der Weiterleitung an die Werberessource von Drittanbietern bemerkt. Dies ist kein so klarer Hack der Site, wenn er vollständig aufhört, sondern eine verborgene Art des Verkehrsdests. Beispielsweise kann ein Angreifer nur Benutzer von mobilen Geräten umleiten oder das Skriptauslösende nicht permanent darstellen, da der Projektinhaber den Verlust des Publikums nicht bemerkte. Was auch immer es war, es ist nicht sehr gut für Ihren Standort, wie aus der Sicht der Besucher, die nicht in die notwendigen Seiten fallen, und Probleme von Suchmaschinen verursachen können, wenn plötzlich umleiten, dass die Umleitung zu einer Quelle mit Viren geht.
Heute betrachten wir ein nützliches PHP-Skript AI Bolit, mit dem Sie Viren zum Hosting finden können, um einen anderen schädlichen Code loszuwerden. Die Lösung ist völlig frei und nicht schwer in der Arbeit.
Dieses Skript verfügt über 3 Release-Optionen:
- AI BOLIT unter Windows - Ermöglicht das Analysieren der Website lokal, nachdem Sie sie auf Ihren Computer heruntergeladen haben.
- Eine klassische Option zum Überprüfen der Hosting für Viren (auch für Unix- und Mac OS X geeignet).
- Ein neuer Webscanner (RESCAN.PRO) - Überprüft die Site-Seite online.
Die letzte Option, wie Sie verstehen, ist jedoch am einfachsten, es sieht jedoch nicht direkt auf die Dateien auf dem Hosting aus, sucht jedoch nur einige Webseiten. Eine solche Oberflächenprüfung kann Ihnen nicht eine bestimmte Problemquelle auf der Website informieren, jedoch dabei, es zu erkennen.
Einige Benutzer sind das bekannteste und einfache Beispiel des AI Bolit-Skripts für Windows, da Viele arbeiten mit diesem Betriebssystem. Ich würde jedoch weiterhin empfehlen, Viren beim Hosting zu überprüfen. Hier ist nichts kompliziert, und hier erzählen Sie Ihnen alles daran.
Betriebsprinzip und Eigenschaften AI BOLIT
Um AI BOLIT zu verwenden, müssen Sie die folgenden Aktionen ausführen:
- Skript vom Standort des Programms herunterladen.
- Auspacken und auf das Hosting gießen.
- Führen Sie AI BOLIT aus, wie in der Dokumentation angegeben.
- Nach der Überprüfung erhalten Sie das Ergebnis der Site-Analyse.
- Als nächstes können Sie die Probleme unabhängig korrigieren oder Hilfe von Spezialisten suchen.
Der letzte Punkt erklärt, warum ein so ein cooles und leistungsstarkes PHP-Skript AI Bolit kostenlos gilt. Ich denke, nachdem ich Probleme und Viren beim Hosting gefunden habe, wenden sich viele Benutzer für die nachfolgenden Dienstleistungen an Entwickler. Ein logischer Ansatz. Die Entscheidung, übrigens, patentiert und hat einen einzigartigen Algorithmus, und das beliebte RU-Hosting empfahl es in Betrieb. Es wird erinnert, sobald er die Unterstützung bei der Technischen Unterstützung des Hosters über die Probleme mit einer Website beantragte, sodass sie ein Testen des Hostinges auf Viren mithilfe von AI Bolith auf den Markt bringen. Nach diesem Fall habe ich von der Existenz dieser Lösung gelernt :)
Die wichtigsten Vorteile und Chips AI BOLIT:
- suche nach verschiedenen Arten von böswilligen Codes: Viren, Muscheln, Backdors, öffentliche Schwachstellen in Skripten;
- freie Verteilung;
- die Verwendung einer speziellen patentierten heuristischen Analyse;
- unabhängig davon, nicht komplexe Installation und Setup;
- tatsächliche Basis von Viren und böswilligen Skripten;
- das Hosting für Viren für alle Websites und CMS prüfen;
- arbeiten Sie mit verschiedenen Betriebssystemen: Windows, Unix, MacOS;
- empfehlungen von führenden Hosting-Unternehmen.
So benutzen Sie AI BOLIT
1. Das AI BOLIT-Skript kann von diesem Link auf der Website mit seiner Beschreibung heruntergeladen werden. Es wird empfohlen, genau die universelle Version (!) Auszuwählen, um das Hosting für Viren zu überprüfen. Danach beginnt der automatische Download der Ai-bolit.zip-Datei.
2. Der nächste Schritt ist das Auspacken und das Herunterladen in das Hosting. Um mit FTP zu arbeiten, benutze ich das filezilla-kostenlose Programm (ausgezeichneter FTP-Client). Nach dem Entfernen von Ai-bolit.zip finden Sie in der Installationsdokumentation in der Datei readme.txt. Wenn Sie möchten, können Sie es kennenlernen.
| Definieren ("Pass", "????????? |
definieren ("Pass", "?????????
Und passen anstelle von Charakteren ??? Ihr Wert. Datei speichern.
4. Kopieren Sie dann den gesamten Inhalt des Ordners / AI-Bolit / auf Ihr Hosting in das Stammverzeichnis (z. B. für WP, wo sich WP-Config befindet).
5. Nach dem Herunterladen des Skripts müssen Sie den AI BOLIT auf dem Link in der Adressleiste Ihres Browsers starten:
https: //adres_bolit.php? P \u003d your_pall
Erhalten Sie nach einer Weile den Suchbericht für Viren zum Hosting.
In diesem Beispiel ist es anscheinend, dass der Scheck eine verdächtige Umleitung für mobile Geräte in Haccess gefunden hat, aber ich fügte es selbst hinzu. Codes von Drittanbietern wurden in einigen Vorlagendateien gefunden (es gibt nicht auf dem Screenshot, da ich bereits alles gereinigt habe).
6. Nachdem der AI Bolit Scanner seine Arbeit abgeschlossen hat, müssen Sie definitiv alle Dateien aus dem FTP (die Sie auf dem 4-Schritt heruntergeladen haben) zusammen mit dem Bericht löschen.
Endlich möchte ich feststellen, dass es ein Skript gibt 2 Überprüfen Sie die Modi: Express und "Paranoid". Im ersten Fall werden nur JS, PHP, HTML-Dateien und HTACCESS geprüft, und der zweite ermöglicht es Ihnen, den AI Bolit zu full zu starten. Stellen Sie dazu in der Datei AI-BOLIT.php-Einstellungsdatei den Wert der Variablen 'scan_all_files' \u003d\u003e 1 ein oder verwenden Sie einen Link mit einem zusätzlichen Parameter, um das Skript zu starten:
https: //ai-bolit.php? P \u003d your_pall & volle
Die Dokumentation sagt, dass er vor dem Neustart erforderlich ist, um den AI-Bolit-DoubleCheck.php zu entfernen, obwohl ich persönlich keine solche Datei für das FTP hatte. In readme.txt finden auch Informationen, wie Sie auf Viren zum Hosting über SSH überprüfen. Der Action-Algorithmus ist ähnlich, aber nachdem Sie alle Dateien des Skripts auf dem FTP kopieren, starten Sie ihn mit dem Befehl:
| PHP AI-BOLIT.php |
pHP AI-BOLIT.php
Infolgedessen wird die Datei automatisch erstellt. AI-BOLIT-Report-<дата>-<время>.html. Mit dem Ergebnis des Schecks. Im Prinzip, nichts kompliziert, aber Sie können die zusätzlichen Antworten auf die Fragen ansehen.
Im Allgemeinen gelang es mir, die Site für Viren mit AI Bolit ganz einfach zu überprüfen - ich habe das Problem entdeckt und 10 Minuten eliminiert. Download Der Scanner ist frei von hier, dann müssen Sie den AI BOLIT auf einem speziellen Link konfigurieren und ausführen Im Browser schauen Sie sich die Ergebnisse an. Wie man Viren korrigiert, Backdors und Muscheln sind eine geringfügige Frage. Im einfachsten Fall (wie eine Weiterleitung) - löschen Sie einfach den schädlichen Code aus Dateien. Wenn dies ungefähr schlecht ist oder die Aufgabe zu kompliziert ist, können Sie in den Entwicklern des SRPT einen bezahlten Beratung / Service anfordern. Sie werden nicht nur mit der Entfernung des Virus zum Hosting helfen, sondern auch den Schutz verbessern.
Die größte Funktionalität ist verfügbar, wenn Sie den AI-Bolit-Scanner im Befehlszeilenmodus starten. Dies kann unter Windows / Unix / Mac OS X und direkt beim Hosting erfolgen, wenn Sie über SSH Zugriff haben, und das Hosting hat die verbrauchten Prozessorressourcen nicht erheblich einschränken.
Bitte beachten Sie, dass die Konsolenversion von PHP 7.1 erforderlich ist, um den Scanner und höher zu starten. Frühere Versionen werden nicht offiziell unterstützt. Überprüfen Sie die aktuelle Version des PHP -V-Befehls
Hilfe durch die Befehlszeilenparameter des AI-Bolit-Scanners
Zeig Hilfe
pHP AI-BOLIT.php --help
pHP AI-BOLIT.php - Skip \u003d JPG, PNG, GIF, JPEG, JPG, PNG, GIF, BMP, XML, ZIP, RAR, CSS, AVI, MOV
Scannen Sie nur bestimmte Erweiterungen
pHP AI-BOLIT.php -Scan \u003d PHP, PHP5, PHT, PHTML, PL, CGI, HTACCES, Verdacht, TPL
Bereiten Sie eine Quarantäne-Datei vor, um Sicherheitsspezialisten zu senden. AI-QUARARTINE-XXXX.ZIP mit Passwort wird erstellt.
pHP AI-BOLIT.php --Quantine
Führen Sie den Scanner im "Paranoid" -Modus aus (empfohlen, einen maximalen detaillierten Bericht zu erhalten)
pHP AI-BOLIT.php --mode \u003d 2
pHP AI-BOLIT.php --mode \u003d 1
Überprüfen Sie eine Datei "pms.db" für schädliche Code
pHP AI-BOLIT.php -jpms.db
Starten Sie einen 512 MB-Speicherscanner
pHP AI-BOLIT.php --memory \u003d 512m
Stellen Sie die maximale Größe der 900-kb-Datei ein
pHP AI-BOLIT.php --size \u003d 900K
Pause eine Pause von 500 ms zwischen den Dateien beim Scannen (um die Last reduzieren)
pHP AI-BOLIT.php --delay \u003d 500
Scanning-Bericht an E-Mail senden [E-Mail geschützt]
pHP AI-BOLIT.php [E-Mail geschützt]
Erstellen Sie einen Bericht in der Datei /home/scanzed/report_site1.html
pHP AI-BOLIT.php --report \u003d / Home / Scaning / Report_Site1.html
Bildlaufverzeichnis / Home / s / site1 / public_html / (Standardbericht wird darin erstellt, falls die Option von --report \u003d File__ Datei angegeben ist)
pHP AI-BOLIT.php --Path \u003d / Home / S / Site1 / Public_HTML /
Führen Sie den Befehl nach Abschluss des Scans aus.
pHP AI-BOLIT.php --cmd \u003d "~ / postprocess.sh"
Erhalten Sie einen Bericht in Textform (Niemandstext) namens site1.txt
pHP AI-BOLIT.php -lsite1.txt
Sie können beispielsweise Anrufe kombinieren, zum Beispiel,
pHP AI-BOLIT.php --size \u003d 300K --Path \u003d / home / s / site1 / public_html / --mode \u003d 2 --scan \u003d PHP, PHTML, PHT, PHP5, PL, CGI, vermutet
Kombinieren eines AI-Bolit-Scanners-Anrufs mit anderen UNIX-Befehlen können Sie beispielsweise Batch-Checks durchführen. Nachfolgend finden Sie ein Beispiel, um mehrere Sites auf dem Konto zu überprüfen. Wenn beispielsweise die Sites innerhalb des Verzeichnisses / var / www / user1 / datains / www / user11 / data / www / user1 (www / user11) veröffentlicht werden, ist der Befehl zum Starten des Scanners
find / var / www / user1 / data / www -maxdepth 1 -Type d -exec php ai-bolit.php-path \u003d () --mode \u003d 2 \\;
Durch das Hinzufügen des Parameters --Report können Sie das Verzeichnis verwalten, in dem Scanberichte erstellt werden.
pHP AI-BOLIT.php Liste der Parameter ... --eng
Wechseln Sie die Berichtsschnittstelle ins Englische. Dieser Parameter muss das letzte gehen.
Integration mit anderen Diensten und im Hosting-Panel
pHP AI-BOLIT.php --json_report \u003d / path / file.json
Bilden Sie einen Bericht im JSON-Format
pHP AI-BOLIT.php --Progress \u003d / path / progress.json
Beheben Sie den Status der Überprüfung der Datei im JSON-Format. Diese Datei enthält strukturierte Daten im JSON-Format: Die aktuelle Prüfdatei, wie viele Dateien überprüft werden, wie viele Dateien überprüft werden, wie viele Dateien den Anteil des Kontrollkreises überprüfen müssen, bis der Scan abgeschlossen ist. Dieser Mechanismus kann verwendet werden, um die Fortschrittsleiste und die Daten auf geprüften Dateien in der Platte anzuzeigen. Nach Abschluss des Scans wird die Datei automatisch entfernt.
pHP AI-BOLIT.php --Handler \u003d / Pfad / Händler.php
Externe Ereignishandler. Sie können Ihren eigenen Scan- / Fortschritts- / Scan-Scan- / Fehlerverschmutzungsprozessoren hinzufügen. Ein Beispiel für eine Datei kann im Scanner-Archiv in dem Verzeichnis Tools / handler.php angezeigt werden. Nach Abschluss des Scans können Sie beispielsweise etwas mit der Berichtsdatei tun (per E-Mail senden, Pack in das Archiv usw.).
AI-Bolit ist ein fortschrittlicher kostenloser Hintergrundscanner, Hackerschalen, Viren und Teig. Das Skript weiß, wie er nach böswilliger und verdächtiger Code in Skripts sucht, bestimmt die Spam-Links, zeigt die CMS-Version und die Konfigurationsserver-Sicherheit an.
Die Effizienz des Scanners ist die Verwendung von Mustern und Heuristiken sowie keine normale Hash-Suche.
Geschichte der Schöpfung.
Im Moment ist der Anti-Virus-Softwaremarkt für Personalcomputer äußerst entwickelt: Anhörung einer Entscheidung von Kaspersky, Dr.Web, McAfee, Norton, Avast und anderen. Mit den Scannern von Viren und schädlichem Code für Standorte ist alles nicht so rosig. Systemadministratoren und Website-Besitzer, die besorgt über das Problem des Findens eines schädlichen Codes auf ihren Servern, sind gezwungen, selbst schriftliche Skripts zu verwenden, die nach bestimmten Fragmenten, die früher gesammelt wurden, nach Viren und Muscheln suchen. Ich bin auch angekommen. Mit Client-Sites, Shells wurden Shells, Viren, Backdors, Umleitungscodes gesammelt und allmählich die Datenbank bösartiger Codesignaturen ausgebildet. Und so dass es praktisch war, es zu verwenden, schrieb ein kleines Skript auf PHP.
Allmählich tauchte der Scanner mit nützlicher Funktionalität auf, und schließlich wurde es offensichtlich, dass er nicht nur für mich nützlich sein könnte.
Im April 2012 kündigte ich das ai-bolitische Skript in mehreren Foren an, und sechs Monate später wurde er zum Hauptmittel, um einen schädlichen Code von Webmastern und Admins von Hosting zu finden. Für die Gesamtstatistik wurde ein andererhalb Jahr und ein halbes Jahr mehr als 64 Tausend Mal heruntergeladen. Und auf dem Skript erhielt ein Copyright-Zertifikat in Rospatent.
Eigenschaften Scanner.
Der Hauptunterschied zwischen der AI-Bolith von den derzeit vorhandenen Scannern von Viren und schädlichem Code auf dem Server ist die Verwendung von Mustern als virale Unterschriften. Die Suche nach schädlichem Code erfolgt auf Basis regulärer Ausdrücke, nicht Hash- oder Prüfsumme, mit der Sie selbst modifizierte und Komponentenschalen erkennen können, die in die CMS-Muster oder Skripts eingefügt werden können.
Der Scanner kann im Speed \u200b\u200bScan-Modus (nur von php-, html, js, htcccess-Dateien) arbeiten, im Modus "Expert", das Verzeichnis- und Mask-Dateien entfernen. Und hat auch eine große CRC-Weißblatt-Datenbank mit beliebter CMS, was die Anzahl der falschen Positiven erheblich reduziert.
Derzeit in der Scannerbasis, mehr als 700 Unterschriften bösartiger Skripts. Die Signaturen sind regelmäßige Ausdrücke, wodurch es möglich ist, beispielsweise solche verschleierten Muscheln und Backdors zu finden, die weder lmd mit clamav noch so mehr als Desktop-Antiviren nicht finden:
Die Signaturdatenbank wird regelmäßig mit neuer Probe aufgefüllt, die als Spezialisten von Überarbeitung und Skriptbenutzern gefunden wurden, mit denen Sie den Scanner auf dem neuesten Stand unterstützen können.
Ai-Bolit-Schnittstelle
Die ai-bolitische Schnittstelle ist sehr einfach. Dies ist ein PHP-Skript, das über PHP-CLI im Befehlszeilenmodus arbeiten kann oder im Browser mit der URL http: //syt/ai-bolit.php? P \u003d Kennwort geöffnet werden kann.
Das Ergebnis des Skripts ist ein Bericht, der aus vier Abschnitten besteht:
- Statistiken und allgemeine Informationen zum Skript.
- Der rote Abschnitt kritischer Bemerkungen mit der Liste der Feldern, Viren und anderen schädlichen Codes (oder ähnlichem dem böswilligen Snipper-Code).
- Orange Warnabschnitt (verdächtige Codefragmente, die häufig in Hackerinstrumenten verwendet werden).
- Blauer Empfehlungbereich (Liste der offenen Verzeichnisse, PHP-Einstellungen usw.).
Der Benutzer analysiert den empfangenen Bericht, die Anzeigen von Snippets, findet bösartige Skripts und entfernt, schädliche Skripts und manuell Codieren von Fragmenten mithilfe von Befehlszeilen-Tools oder Suchprogrammen und ersetzen Sie Saiten in Dateien.
Das Hauptproblem, mit dem der Entwickler des Virenscanners normalerweise konfrontiert ist, ist die Suche nach der goldenen Mitte zwischen "Paranoid" (Empfindlichkeit) des Scanners und der Anzahl der falschen Positiven. Wenn nur feste Linien für den schädlichen Code verwendet werden, um nach schädlichem Code zu suchen, wird die Effektivität des Scanners niedrig, wie beschrieben, wie beschrieben, Code mit Leerzeichen und Registerkarten, der cider formatierte Code wird nicht gefunden. Wenn Sie nach flexiblen Mustern suchen, ist die Wahrscheinlichkeit von falschen Positiven hoch, wenn sicher sichere Skripts als bösartig festgestellt werden.
In AI-Bolit löste ich dieses Problem mit der Verwendung von zwei Betriebsmodi ("Normal" / "Expert") und weiße Blätter für berühmte CMS.
Zukünftige ai-bolit
Die Skriptentwicklungspläne sind eine große Anzahl nützlicher Funktionen und Integration mit anderen Antivirus-Lösungen. Einer der wichtigsten Punkte ist die ai-bolitische Integration mit Clamav- und LMD-Datenbanken. Also kann AI-Bolith nach Wurzeln und Muscheln auch nach Prüfsummen suchen.
Das zweite Wichtigste in der Warteschlange zur Implementierung ist eine praktische Schnittstelle zum Analysieren tabellarischer Berichte mit Such- und flexiblen Filtern. Sie können die gefundenen Dateien nach Erweiterungen abschneiden, sortieren nach Größe, Prüfsummen und so weiter.
Der dritte Punkt ist die Implementierung des asynchronen Scans mit AJAX, wodurch das Problem der Überprüfung von auf schwachen Hostings platzierenden Sites löst wird, auf denen der CPU-Verbrauch oder der Skriptbetrieb begrenzt ist. Im Moment wird es nur durch Scannen einer Kopie der Site lokal oder auf einem anderen, leistungsfähigeren Server gelöst. Und natürlich konstante Updates der Datenbanken bösartiger Codesignaturen.
Abschließend
Der Skriptcode ist offen, auf Github platziert, also kann jeder zur Entwicklung dieses Projekts beitragen. Ihre Vorschläge und Anregungen schicken mich an [E-Mail geschützt].
