Скрипт поиска вредоносно...

[mnemonic]

Очередной мегарелиз AI-BOLIT.

Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)
- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)
- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)
- много новых и свежих сигнатур шеллов, вирусов и дорвеев
- исправлена ошибка поиска невидимых ссылок
- отображение в отчете найденных символических ссылок
- отображение в консоли статистики по найденным проблемам

Качаем тут http://revisium.com/ai/ и проверяем свои сайты.

[bljaher]

Отличная штука, прошелся по своим сайтам - слава богу пусто.

[bredbaraded]

У меня более 100 сайтов, можно ли как то проверить все сразу?

[mnemonic]

Изменения в версии 20130122

- новые сигнатуры, добавлено несколько исключений из ложных срабатываний
- новые доверенные файлы от cms: .aknown.* (+instantcms, invision power board)
- ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память)
- исправлена ошибка с подсчетом кол-ва сканируемых файлов
- разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js
- отображается список скрытых файлов (начинающихся с "точки")

Качать отсюда: http://revisium.com/ai/

[mnemonic]

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте, вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание

[dimatel]

Спасибо!
Попробую. Пару раз уже приходилось руками чистить файлы на хостинге от вирусов.

[mnemonic]

Изменения в версии 20130201

- новые сигнатуры
- файл отчета запрещен к индексированию
- в имени файла отчета добавляется случайное число для защиты от подбора имени
- добавлен .aknown файл для Wordpress 3.5.1

http://revisium.com/ai/

[mnemonic]

Новая версия AI-BOLIT (кроме шуток)

Изменения в версии 20130401:

- Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме)
- Новые сигнатуры вирусов и шеллов
- Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад)
- Двухязыковый интерфейс (русский, английский)
- Добавлены файлы aknown для Joomla 2.5.9
- Добавлены файлы в .aignore и адреса в .aurlignore
- Много всяких мелких улучшений в алгоритмах определения вредоносного кода

Качаем здесь http://revisium.com/ai/

[mnemonic]

Новая версия скрипта AI-BOLIT

Изменения в версии 20130519

- Добавлены новые сигнатуры вирусов и шеллов
- Детектирование двойных расширений .php.<что-то>
- Добавлен аргумент -j (--file) для сканирования конкретного файла
- Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8
- Разные мелкие исправления

Качаем здесь: http://revisium.com/ai/

[mnemonic]

Новая версия скрипта AI-BOLIT 20130609:

- Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
- Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге.
- Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

Качаем здесь http://revisium.com/ai/