AI Bolit نصب و شروع. نحوه کار با اسکنر AI-Bolit از خط فرمان. بار بزرگ بر روی سرور

Ai-bolit - اسکنر ویروس موثر و سایر کد مخرب در میزبانی

ما اغلب خواسته می شود - منحصر به فرد اسکنر AI-Bolit چیست؟ از سایر ابزارهای مشابه برای پیدا کردن یک کد بد، مانند مالدت، کلاماو یا حتی آنتی ویروس های دسکتاپ متفاوت است؟ یک پاسخ کوتاه - بهتر است یک کد مخرب را که در PHP و Perl نوشته شده است را تشخیص دهد. چرا؟ پاسخ زیر است.

هر روز، کد مخرب (پوسته وب هکر، پشتکار، و غیره) پیچیده تر و پیچیده تر می شود. علاوه بر افسردگی شناسه ها و کد رمزنگاری

ویژگی های نامنظم، ویژگی های ضمنی از طریق روش های با استدلال های فراخوانی، Handler OB و ویژگی های غیر مستقیم تماس می گیرند.

همچنین اسکریپت های مخرب با ساختار خطی و شناسه های ثابت باقی می ماند. کد در حال تلاش برای پنهان کردن و ساختن تا آنجا که ممکن است، "پلیمورفیک"

یا بالعکس، ساده ترین و شبیه به اسکریپت معمولی است.

گاهی اوقات، تجزیه و تحلیل یک اسکریپت مخرب، غیرممکن است که یک قطعه ثابت را کنار بگذاریم، که طبق آن به طور یکنواخت توسط "مخرب" شناسایی شده است. بدیهی است، چنین کد مخرب را نمی توان در یک پایگاه داده امضای ساده (پایه آنتی ویروس) یافت، که در اکثریت قریب به اتفاق از آنتی ویروس های وب و اسکنرهای میزبانی استفاده می شود. برای به طور موثر جستجو برای نرم افزارهای مخرب مدرن، لازم است از تکنیک های پیچیده تر برای تعیین الگوهای ویروسی استفاده کنید و در برخی موارد او، اکتشافی ها. این رویکردی است که ما در اسکنر تروجان AI-Bolit اعمال می کنیم.
استفاده از یک پایه بزرگ به طور مداوم بهبود الگوهای انعطاف پذیر بر اساس عبارات منظم، استفاده از تجزیه و تحلیل اکتشافی اضافی توسعه یافته بر اساس اسکن تعداد زیادی از سایت های آلوده، امکان ایجاد اسکنر Ai-bolit کارآمد و فعالانه را فراهم کرد مدیر استفاده و ابزار توسعه دهنده وب.

Ai-Bolit همچنین به لطف یک رابط کاربری ساده و استفاده رایگان از اهداف غیر تجاری نیز از شهرت گسترده دریافت کرده است. هر وب مستر می تواند کاملا رایگان دانلود Ai-Bolit از سایت رسمی http://revisium.com/ai/ و بررسی منابع خود را برای پوسته های هکرها، backdors، dorev، ویروس ها، سقوط اسپم، مراجع پنهان و دیگر قطعات مخرب و درج. اسکنر همچنین به طور فعال توسط شرکت های تجاری - استودیو های وب، شرکت های میزبانی وب و آژانس های اینترنتی برای بررسی و درمان سایت های مشتری استفاده می شود. میزبانان Ai-bolit را در پنل کنترل ادغام می کنند، توسعه دهندگان وب از آن برای جستجوی کد مخرب و خدمات نظارت بر سایت خود استفاده می کنند.

در زیر ما فقط یک لیست کوچک از ویژگی های اسکنر AI-bolit را ارائه می دهیم:

• از کنسول و مرورگر استفاده کنید
• سه حالت اسکن ("ساده"، "کارشناس"، "paranoid") و دو حالت عملیات ("اکسپرس" و "اسکن کامل")
• جستجو برای اسکریپت های هکری PHP و Perl (پوسته، پشتکار)، درج های ویروسی، جاده ها، سقوط هرزنامه، اسکریپت های فروش لینک ها، اسکریپت های ساعت و دیگر اسکریپت های مخرب. جستجو برای قالب ها و عبارات منظم، و همچنین استفاده از اکتشافات برای تعیین کد بالقوه مخرب بالقوه
• جستجو برای امضا در بلوک های متن رمزگذاری شده، تکه تکه شده و توالی های هگز / اکتبر / اکتبر کد شده
• جستجو برای فایل های مشکوک با ساختارهایی که در اسکریپت های مخرب استفاده می شود
• جستجو برای لینک های پنهان در فایل ها
• جستجو برای لینک های نمادین
• جستجو برای جستجو و تغییر مسیر تلفن همراه و خیلی بیشتر.

به هر حال، AI-Bolit یک گواهی کپی رایت دریافت کرد. و اسکنر به طور فعال در سایت های شخص ثالث، در مجلات نمایه، در کنفرانس ها و وبینارها پوشش داده شده است.

صفحه رسمی اسکریپت

یک سناریوی مشکل وجود دارد - سایت با ویروس ها.

در حال حاضر من نشان خواهم داد که چگونه این ویروس آسان است برای پیدا کردن و نابود کردن. اول از همه، شما باید سایت را در زبان محلی دانلود کنید - زیرا فایل های پستی بسیار ساده تر است.

این متن از توصیف ویدیو است، زیرا کمی کثیف و کسل کننده است. با این حال، بقیه نویسنده من است)

دانلود فایل های ثبت می شود. من بلافاصله در سرور محلی نصب شده دانلود خواهم کرد - سرور باز - چه چیزی ممکن است به صورت محلی اجرا شود، به طور ناگهانی نیاز است.

اگر شما یک آنتی ویروس نصب کرده اید، کدام فایل ها را در پرواز بررسی می کنید - فرصتی وجود دارد که شما در برخی از فایل ها ویروس ها در هنگام بارگیری پیدا خواهید کرد. نگاهی به سیاهههای مربوط به آنتی ویروس من.

در مورد من، امنیت مایکروسافت من هیچ چیز را نشان نداد - ویروس برای او ناشناخته بود.

برای جستجو، من از آنتی ویروس ویژه - aibolit استفاده خواهم کرد. سایت توسعهدهنده http://revisium.com/ai/
من به شما توصیه می کنم بروید، سمینار را تماشا کنید. فایل ها هنوز دانلود شده اند، برای مدت طولانی است. من قبلا یک کپی محلی به پایان رسانده ام، دیروز با آنتی ویروس بازی کردم.

بنابراین، ما همچنین نیاز به پی اچ پی برای ویندوز. دانلود اینجا http://windows.php.net/download/ آخرین نسخه برای ویندوز در آرشیو ZIP. باز کردن جایی که در آن شما راحت خواهید بود.

باشه. آماده سازی به پایان رسید حالا به کار

بایگانی را با AiboLit دانلود کنید.

در داخل سه پوشه:

• ai-bolit - هسته آنتی ویروس خود
• adgent_files - نسخه های پایگاه داده های ضد ویروس فایل ها برای موتورهای مختلف
• ابزار - یک ابزار رامی.

بنابراین، به درمان سایت از ویروس ها بروید

1. کپی از پوشه AI-bolit تمام فایل ها به ریشه سایت
2. اگر ما می دانیم چه نوع موتور ما داریم - پوشه را با CMS ما در پوشه adgan_files انتخاب کرده و تمام فایل ها را به ریشه پرتاب کنید. در مورد من، موتور وردپرس، ما از پایگاه های داده های آنتی ویروس ویروس برای وردپرس لرزش خواهیم داشت. اگر می خواهید همه چیز را بررسی کنید، می توانید پایگاه های ضد ویروس را از تمام موتورها بریزید - شاید چیزی بیشتر پیدا کند)
3. من دوباره فراموش کردم - شما باید حالت کارشناس عملیات را در تنظیمات aibolit مشخص کنید. برای انجام این کار، فایل ai-bolit.php را به ویرایشگر متن باز می کنیم و خط تعریف را در آنجا پیدا می کنیم (AI_EXPERT '، 0)؛ ما تغییر "0" را به "1" و همه - حالت کارشناس گنجانده شده است.
4. در حال حاضر - شما باید بایگانی ZIP ما را با پی اچ پی به برخی از پوشه باز کنید که در آن مناسب است که بتوانید با آن کار کنید. ما به یک فایل نیاز داریم - php.exe
5. حالا شما باید فایل اجرایی آنتی ویروس ما را اجرا کنید. برای این، دو بار با کلیک بر روی ai-bolit.php. من قبلا آماده بودم که چگونه این اسکریپت را انجام دهم.

من به شما توصیه می کنم فقط پوشه آپلود و پوشه را با موضوع خود ذخیره کنید. پلاگین ها برای پرتاب همه چیز، تنظیمات در پایگاه داده باقی می ماند - ویروس های آنها لمس نمی کنند. شما به صورت دستی تمام فایل ها را بررسی می کنید - مزایای آنها کمی وجود دارد اگر سایت یک برند اسپینر نیست. و هر چیز دیگری در موتور برای ریختن نانووو. این روش قابل اعتماد ترین است.

و من همچنین به شما یادآوری می کنم - ویروس ها به احتمال زیاد در سراسر حساب میزبانی وب (به ندرت آنها موفق به پرش بین حساب های کاربران مختلف، تنها در مورد TMO اگر مدیر میزبانی Krivaruk.)

اگر سایت به دلایلی Aibolit حذف شود - شما همیشه می توانید آنتی ویروس را برای سایت دانلود کنید

ویروس ها غمگین هستند (

PS: دو مقاله چگونه برای تمیز کردن ویروس ها در حال حاضر یافت:

• به سادگی - نحوه حذف ویروس از سایت خودتان
• برای پیشرفته -

به تازگی، در یکی از پروژه های خود، من متوجه شدم که منجر به تغییر مسیر به منابع تبلیغاتی شخص ثالث شد. این یک هک روشن از سایت نیست، زمانی که آن را به طور کامل متوقف می کند، اما یک روش پنهان سرقت ترافیک. به عنوان مثال، یک مهاجم می تواند تنها کاربران را از دستگاه های تلفن همراه هدایت کند یا به منظور ایجاد اسکریپت، غیر دائمی باشد تا صاحب پروژه متوجه از دست دادن مخاطبان شود. هر چه بود، برای سایت شما بسیار خوب نیست زیرا از دیدگاه بازدید کنندگان که به صفحات لازم نمی افتد، می تواند مشکلات را از موتورهای جستجو ایجاد کند، اگر ناگهان تغییر مسیر به یک منبع با ویروس ها منجر شود.

امروز ما یک اسکریپت مفید پی اچ پی اس اسکریپت AI را در نظر می گیریم که به شما امکان می دهد ویروس ها را در میزبانی پیدا کنید تا از کد های مختلف مخرب خلاص شوید. راه حل کاملا رایگان است و در کار دشوار نیست.

این اسکریپت دارای 3 گزینه انتشار است:

• AI Bolit تحت ویندوز - به شما اجازه می دهد تا سایت را به صورت محلی تجزیه و تحلیل کنید، پس از دانلود آن به کامپیوتر.
• یک گزینه کلاسیک برای بررسی میزبانی برای ویروس ها (همچنین مناسب برای یونیکس و Mac OS X) مناسب است.
• یک اسکنر وب جدید (Rescan.Pro) - صفحه سایت را بررسی می کند.

آخرین گزینه، همانطور که می فهمید، ساده ترین با این حال، به طور مستقیم به فایل ها در میزبانی نگاه نمی کند، بلکه فقط به صورت انتخابی برخی از صفحات وب را اسکن می کند. چنین بررسی سطح نمی تواند به شما یک منبع خاص از مشکل در سایت، اما به تشخیص آن کمک کند.

بعضی از کاربران نمونه آشنا و ساده تر از اسکریپت AI Bolit برای ویندوز هستند، زیرا بسیاری از کار با این سیستم عامل. با این حال، من هنوز توصیه می کنم بررسی ویروس ها را در میزبانی. در اینجا هیچ چیز پیچیده ای وجود ندارد، و در اینجا شما همه چیز را در مورد آن به شما می گویم.

اصل عملیات و ویژگی های AI Bolit

برای استفاده از AI Bolit شما باید اقدامات زیر را انجام دهید:

• اسکریپت را از سایت برنامه دانلود کنید.
• باز کردن و ریختن آن را در میزبانی.
• اجرای AI Bolit همانطور که در اسناد نشان داده شده است.
• پس از بررسی، شما نتیجه تجزیه و تحلیل سایت را دریافت خواهید کرد.
• بعد شما می توانید به طور مستقل مشکلات را اصلاح کنید یا از متخصصان کمک کنید.

آخرین مورد توضیح می دهد که چرا این یک اسکریپت PHP Cool و قدرتمند AI Bolit به صورت رایگان اعمال می شود. من فکر می کنم پس از پیدا کردن مشکلات و ویروس ها در میزبانی، بسیاری از کاربران به توسعه دهندگان برای خدمات بعدی تبدیل می شوند. کاملا یک رویکرد منطقی تصمیم، به هر حال، ثبت شده و دارای یک الگوریتم منحصر به فرد است، و محبوب RU میزبانی توصیه / استفاده از آن در عملیات. به یاد می آورد، هنگامی که او برای کمک به حمایت فنی از Hoster در مورد مشکلات با یک سایت درخواست کمک کرد، به طوری که آنها تست میزبانی میزبانی را به ویروس ها دقیقا با استفاده از AI Bolit راه اندازی کردند. پس از آن، من در مورد وجود این راه حل آموختم :)

مزایای اصلی و تراشه های AI Bolit:

• جستجو برای انواع مختلف کدهای مخرب: ویروس ها، پوسته ها، پشتکاران، آسیب پذیری های عمومی در اسکریپت ها؛
• توزیع رایگان؛
• استفاده از تجزیه و تحلیل اکتشافی خاص ثبت شده؛
• صرف نظر از نصب و راه اندازی پیچیده؛
• پایه واقعی ویروس ها و اسکریپت های مخرب؛
• چک کردن میزبانی برای ویروس ها برای هر سایت و CMS؛
• کار با سیستم عامل های مختلف: ویندوز، یونیکس، MacOS؛
• توصیه های شرکت های پیشرو میزبانی.

نحوه استفاده از AI Bolit

1. اسکریپت AI Bolit را می توان با استفاده از این لینک در سایت با توضیحات آن دانلود کرد. توصیه می شود دقیقا نسخه جهانی را انتخاب کنید (!) برای بررسی میزبانی برای ویروس ها. پس از آن، دانلود خودکار فایل ai-bolit.zip آغاز خواهد شد.

2. گام بعدی باز کردن و دانلود به میزبانی است. برای کار با FTP، از برنامه FileZilla Free (Client FTP عالی) استفاده می کنم. پس از unzipping ai-bolit.zip، شما در داخل مستندات نصب در فایل readme.txt پیدا خواهید کرد. اگر می خواهید، می توانید با آن آشنا شوید.

تعریف ("گذر"، "؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

تعریف ("گذر"، "؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

و به جای شخصیت ها مناسب است ؟؟؟ ارزش شما ذخیره فایل

4. سپس کل محتویات پوشه / ai-bolit / بر روی میزبانی خود را به دایرکتوری ریشه کپی کنید (به عنوان مثال، برای WP آن جایی است که WP-Config واقع شده است).

5. پس از دانلود اسکریپت، شما باید AI Bolit را در لینک در نوار آدرس مرورگر خود شروع کنید:

https: //adres_bolit.php؟ p \u003d your_pall

بعد از مدتی، گزارش جستجو را برای ویروس ها در میزبانی دریافت کنید.

در این مثال، ظاهرا این چک یک تغییر مسیر مشکوک برای دستگاه های تلفن همراه واقع در HACCESS یافت، اما من آن را اضافه کردم. کدهای شخص ثالث در برخی از فایل های قالب یافت شد (هیچ آنها بر روی تصویر وجود ندارد، زیرا من قبلا همه چیز را تمیز کرده ام).

6. پس از اسکنر AI Bolit کار خود را تکمیل کرد، شما باید قطعا تمام فایل های خود را از FTP (که شما در 4 مرحله ای دانلود کردید) همراه با گزارش را حذف کنید.

سرانجام، من می خواهم متوجه شوم که یک اسکریپت وجود دارد 2 حالت های بررسی: اکسپرس و "پارانوئید". در اولین مورد، فقط JS، PHP، فایل های HTML و HTML مورد بررسی قرار می گیرند، و دوم اجازه می دهد تا شما را به راه اندازی AI به طور کامل. برای انجام این کار، در فایل تنظیمات ai-bolit.php، مقدار متغیر 'scan_all_files' \u003d\u003e 1 را تنظیم کنید یا از یک پیوند با یک پارامتر اضافی برای شروع اسکریپت استفاده کنید:

https: //ai-bolit.php؟ p \u003d your_pall & full

مستندات می گوید که قبل از راه اندازی مجدد آن ضروری است برای حذف ai-bolit-doublecheck.php، اگر چه من شخصا چنین فایل برای FTP نداشتم. در readme.txt همچنین اطلاعاتی را برای بررسی ویروس ها در میزبانی از طریق SSH پیدا خواهید کرد. الگوریتم عمل مشابه است، اما پس از کپی کردن تمام فایل های اسکریپت در FTP، شما آن را با فرمان راه اندازی می کنید:

پی اچ پی ai-bolit.php

پی اچ پی ai-bolit.php

به عنوان یک نتیجه، فایل به طور خودکار ایجاد می شود. ai-bolit گزارش-<дата>-<время>.html با نتیجه چک در اصل، هیچ چیز پیچیده نیست، اما شما می توانید به پاسخ های اضافی به سوالات نگاه کنید.

به طور کلی، من موفق به بررسی سایت برای ویروس ها با AI Bolit کاملا به راحتی - من کشف مشکل و حذف 10 دقیقه. دانلود اسکنر رایگان از اینجا، پس شما نیاز به پیکربندی و اجرای AI Bolit در یک لینک خاص در مرورگر، سپس نتایج را مشاهده کنید. نحوه اصلاح ویروس ها، backdors و پوسته ها یک سوال کمی متفاوت هستند. در ساده ترین مورد (مانند یک تغییر مسیر) - فقط کد مخرب را از فایل ها حذف کنید. اگر این در مورد این بد باشد یا این کار بسیار پیچیده است، می توانید درخواست مشاوره / خدمات پرداخت شده را در توسعه دهندگان SRPT درخواست کنید. آنها نه تنها با حذف ویروس در میزبانی کمک می کنند، بلکه حفاظت از آن نیز بهبود می یابند.

بزرگترین عملکرد در هنگام شروع اسکنر Ai-bolit در حالت خط فرمان در دسترس است. این را می توان هر دو تحت Windows / Unix / Mac OS X انجام داد، و به طور مستقیم در میزبانی اگر شما از طریق SSH دسترسی داشته باشید و میزبان به طور قابل توجهی محدود کردن منابع پردازشگر مصرف شده را محدود نمی کند.

لطفا توجه داشته باشید که نسخه کنسول PHP 7.1 برای شروع اسکنر و بالاتر مورد نیاز است. نسخه های قبلی رسما پشتیبانی نمی شوند. نسخه فعلی فرمان PHP -V را بررسی کنید

کمک توسط پارامترهای خط فرمان اسکنر AI-Bolit

کمک نشان دادن

php ai-bolit.php --help

php ai-bolit.php --skip \u003d jpg، PNG، GIF، JPEG، JPG، PNG، GIF، BMP، XML، ZIP، RAR، CSS، AVI، MOV

اسکن فقط برخی از پسوند

پی اچ پی Ai-bolit.php - SCAN \u003d PHP، PHP5، PHT، PHTML، PL، CGI، HTACCESS، مشکوک، TPL

یک فایل قرنطینه را برای ارسال متخصصین امنیتی آماده کنید. ai-quarantine-xxxx.zip با رمز عبور ایجاد خواهد شد.

پی اچ پی ai-bolit.php - کورنتین

اسکنر را در حالت "Paranoid" اجرا کنید (توصیه می شود برای به دست آوردن حداکثر گزارش دقیق)

php ai-bolit.php --mode \u003d 2

پی اچ پی ai-bolit.php --mode \u003d 1

یک فایل "pms.db" را برای کد مخرب بررسی کنید

php ai-bolit.php -jpms.db

یک اسکنر حافظه 512 مگابایت را شروع کنید

پی اچ پی ai-bolit.php - Memory \u003d 512m

حداکثر اندازه فایل 900 کیلوبایت را تنظیم کنید

php ai-bolit.php --size \u003d 900K

مکث 500 مگابایت بین فایل ها را هنگام اسکن کردن (برای کاهش بار)

پی اچ پی ai-bolit.php --delay \u003d 500

ارسال اسکن گزارش به ایمیل [ایمیل محافظت شده]

پی اچ پی ai-bolit.php [ایمیل محافظت شده]

یک گزارش را در فایل /home/scanned/report_site1.html ایجاد کنید

php ai-bolit.php --Report \u003d / home / scanned / report_site1.html

Scroll Directory / Home / S / Site1 / Public_HTML / (گزارش پیش فرض در آن ایجاد می شود، اگر File -Report \u003d File_ File) گزینه مشخص شده باشد)

php ai-bolit.php - patch \u003d / home / s / site1 / public_html /

دستور را پس از اتمام اسکن اجرا کنید.

پی اچ پی ai-bolit.php - cmd \u003d "~ / postprocess.sh"

دریافت گزارش در فرم متن (متن ساده) به نام site1.txt

php ai-bolit.php -lsite1.txt

شما می توانید تماس ها را ترکیب کنید، به عنوان مثال،

php ai-bolit.php - size \u003d 300k - site \u003d / home / s / site1 / public_html / - mode \u003d 2 - SCAN \u003d PHP، PHTML، PHT، PHP5، PL، CGI، مشکوک

ترکیب تماس اسکنر AI-bolit با سایر دستورات یونیکس، می توانید، به عنوان مثال، چک های دسته ای را انجام دهید. در زیر، نمونه ای از بررسی چندین سایت را که در داخل حساب قرار دارد را بررسی می کند. به عنوان مثال، اگر سایت ها در دایرکتوری / var / www / www / data / data / www قرار داده شوند، دستور برای شروع اسکنر خواهد بود

پیدا کردن / var / www / user1 / data / www -maxdepth 1 -type d -exec php ai-bolit.php -path \u003d () --mode \u003d 2 \\؛

با اضافه کردن پارامتر -Report، شما می توانید دایرکتوری را که در آن گزارش های اسکن ایجاد می شود را مدیریت کنید.

پی اچ پی ai-bolit.php لیست پارامترها ... -

رابط گزارش را به زبان انگلیسی تغییر دهید. این پارامتر باید به آخرین برود.

ادغام با سایر خدمات و در پانل میزبانی

php ai-bolit.php --json_report \u003d / path / file.json

یک گزارش را در فرمت JSON فرم دهید

php ai-bolit.php --progress \u003d / path / progrced.json

رفع وضعیت چک کردن فایل در فرمت JSON. این فایل شامل داده های ساختاری در فرمت JSON خواهد بود: فایل چک فعلی، چند فایل بررسی می شود، چند فایل برای بررسی درصد چک، زمان تا زمانی که اسکن کامل شده است. این مکانیزم را می توان برای نشان دادن نوار پیشرفت و داده ها در فایل های تأیید شده در پانل استفاده کرد. پس از اتمام اسکن، فایل به صورت خودکار حذف می شود.

php ai-bolit.php --handler \u003d / path / hander.php

دستگیره رویداد خارجی شما می توانید اسکن / پیشرفت خود اسکن / اسکن / اسکن پردازنده های مسدود کردن / خطا را اضافه کنید. یک مثال از یک فایل را می توان در بایگانی اسکنر، در دایرکتوری Tools / Handler.php مشاهده کرد. به عنوان مثال، پس از اتمام اسکن، شما می توانید کاری را با فایل گزارش انجام دهید (ارسال پست الکترونیکی، بسته بندی در بایگانی، و غیره).

Ai-Bolit یک اسکنر پس زمینه پیشرفته رایگان، پوسته هکر، ویروس ها و خمیر است. اسکریپت می داند که چگونه می توان کد مخرب و مشکوک را در اسکریپت جستجو کرد، لینک های هرزنامه را تعیین می کند، نسخه CMS و امنیت سرور پیکربندی را نشان می دهد.

کارایی اسکنر این است که از الگوهای و اکتشافات استفاده شود و نه یک جستجو هش طبیعی.

تاریخچه خلقت

در حال حاضر، بازار نرم افزار ضد ویروس برای رایانه های شخصی بسیار توسعه یافته است: شنیدن یک تصمیم از کسپرسکی، دکتر وب، McAfee، نورتون، اوست و دیگران. با اسکنر های ویروس ها و کد های مخرب برای سایت ها، همه چیز خیلی شفاف نیست. مدیران سیستم و صاحبان وب سایت، نگران مشکل پیدا کردن یک کد مخرب در سرورهای خود، مجبور به استفاده از اسکریپت های خود نوشته شده است که به دنبال ویروس ها و پوسته ها با توجه به قطعات خاص جمع آوری شده است. من نیز وارد شدم با استفاده از سایت های مشتری، پوسته های جمع آوری پوسته، ویروس ها، ستون فقرات، کد های هدایت شده و به تدریج پایگاه داده ای از امضاهای کد مخرب را تشکیل می دهند. و به طوری که آن را مناسب برای استفاده از آن، یک اسکریپت کوچک در PHP نوشت.

به تدریج اسکنر با قابلیت های مفید مواجه شد و در نهایت متوجه شد که او نمی تواند نه تنها برای من مفید باشد.
در آوریل 2012، من اسکریپت AI-Bolit را در چندین انجمن اعلام کردم، و شش ماه بعد، او به عنوان ابزار اصلی پیدا کردن یک کد مخرب از مدیران وب و مدیران میزبانی شد. همانطور که برای کل آمار، یک سال و نیم اسکریپت بیش از 64 هزار بار دانلود شد. و در اسکریپت یک گواهی کپی رایت دریافت کرد.

ویژگی های اسکنر

تفاوت اصلی بین AI-Bolit از اسکنرهای موجود در حال حاضر موجود از ویروس ها و کد مخرب در سرور، استفاده از الگوها به عنوان امضاهای ویروسی است. جستجو برای کد مخرب بر اساس عبارات منظم رخ می دهد، نه هش یا چکمه، که به شما امکان شناسایی حتی پوسته های اصلاح شده و مولفه های وارد شده را به الگوهای CMS یا اسکریپت ها می دهد.

اسکنر می تواند در حالت اسکن سرعت (فقط توسط فایل های PHP-، HTML، JS، HTCCCSESS) کار کند، در حالت "متخصص"، حذف فایل های دایرکتوری و ماسک. و همچنین دارای یک پایگاه داده بزرگ CRC سفید از CMS محبوب است، که به طور قابل توجهی تعداد مثبت کاذب را کاهش می دهد.

در حال حاضر، در پایگاه اسکنر، بیش از 700 امضا از اسکریپت های مخرب. امضاها عبارات منظم هستند، که باعث می شود، به عنوان مثال، چنین پوسته های مبهم و پشت سر هم، که نه LMD با Clamav، و نه بیشتر از آنتی ویروس های دسکتاپ پیدا نمی کند:

پایگاه داده امضا به طور منظم با نمونه جدیدی که به عنوان متخصصان بازنگری و کاربران اسکریپت یافت می شود، دوباره پر شده است، که به شما اجازه می دهد تا از اسکنر تا به امروز پشتیبانی کنید.

رابط Ai-bolit

رابط Ai-bolit بسیار ساده است. این یک اسکریپت PHP است که می تواند در حالت خط فرمان از طریق PHP CLI کار کند یا در مرورگر با URL http: //syt/ai-bolit.php باز شود؟ p \u003d رمز عبور.

نتیجه اسکریپت یک گزارش است که شامل چهار بخش است:

1. آمار و اطلاعات عمومی در مورد اسکریپت.
2. بخش قرمز از اظهارات بحرانی با لیستی از قفسه های موجود، ویروس ها و سایر کد های مخرب (یا مشابه کد مخرب مخرب).
3. بخش هشدار نارنجی (قطعات کد مشکوک، که اغلب در ابزارهای هکر استفاده می شود).
4. بخش توصیه آبی (فهرست دایرکتوری های باز، تنظیمات پی اچ پی، و غیره).

کاربر تجزیه و تحلیل گزارش دریافت شده، مشاهده قطعه، اسکریپت های مخرب و قطعات دستی کد را با استفاده از ابزارهای خط فرمان یا برنامه های جستجو و جایگزینی رشته ها در فایل ها پیدا می کند.

مشکل اصلی، که با آن توسعه دهنده اسکنر ویروس معمولا مواجه می شود، جستجو برای وسط طلایی بین "پارانوئید" (حساسیت) اسکنر و تعداد مثبت کاذب است. اگر فقط خطوط ثابت برای کد مخرب استفاده کنید تا کد مخرب را جستجو کنید، اثربخشی اسکنر کم می شود، همانطور که قطعات توصیف شده، کد با فضاها و زبانه ها، کد فرمت Cider یافت نشد. اگر شما به دنبال الگوهای انعطاف پذیر هستید، احتمال ابتلا به مثبت کاذب بالا است زمانی که اسکریپت های ایمن امن به عنوان مخرب ذکر شده است.

در AI-Bolit، من این مشکل را با استفاده از استفاده از دو حالت عملیات ("عادی" / "متخصص") و ورق های سفید برای CMS معروف حل می کنم.

آینده Ai-bolit

برنامه های توسعه اسکریپت تعداد زیادی از ویژگی های مفید و ادغام با سایر راه حل های آنتی ویروس است. یکی از نکات کلیدی، ادغام AI-Bolit با پایگاه داده های CLAMAV و LMD است. بنابراین Ai-bolit قادر خواهد بود برای ریشه ها و پوسته ها نیز با توجه به Checksums جستجو کند.

دومین چیز مهم در صف برای پیاده سازی یک رابط کاربری مناسب برای تجزیه و تحلیل گزارش های جدولی با فیلترهای جستجو و انعطاف پذیر است. شما می توانید فایل های یافت شده را با افزونه ها، مرتب سازی بر اساس اندازه، چکمه، و غیره قطع کنید.

نکته سوم، اجرای اسکن ناهمزمان با آژاکس است که مشکل چک کردن سایت های قرار داده شده در میزبان های ضعیف را حل خواهد کرد، که مصرف CPU یا عملیات اسکریپت محدود است. در حال حاضر تنها با اسکن یک کپی از سایت محلی یا در یک سرور قدرتمندتر، حل می شود. و البته، به روز رسانی های مداوم از پایگاه های داده های کد مخرب.

سرانجام

کد اسکریپت باز است، در Github قرار می گیرد، بنابراین هر کسی می تواند به توسعه این پروژه کمک کند. پیشنهادات و پیشنهادات شما به من ارسال می شود [ایمیل محافظت شده].