Новости

Антивірус для сайту

  1. Зміст статті AI-Bolit - це просунутий безкоштовний сканер бекдор, хакерських Шелл, вірусів і дорвеев....
  2. особливості сканера
  3. Інтерфейс AI-Bolit
  4. Майбутнє AI-Bolit
  5. На закінчення

Зміст статті

AI-Bolit - це просунутий безкоштовний сканер бекдор, хакерських Шелл, вірусів і дорвеев. Скрипт вміє шукати шкідливий і підозрілий код в скриптах, визначає спам-посилання, показує версію CMS і критичні для безпеки сервера настройки.

Ефективність роботи сканера полягає в використанні патернів і евристики, а не звичайного пошуку по хешу.

Історія створення

На даний момент ринок антивірусного ПО для персональних комп'ютерів надзвичайно розвинений: на слуху рішення від Касперського, Dr.Web, McAfee, Norton, Avast і інших. З сканерами вірусів і шкідливого коду для сайтів все не так райдужно. Системні адміністратори і власники сайтів, стурбовані проблемою пошуку шкідливого коду на своїх серверах, змушені використовувати самописние скрипти, які шукають віруси і шелли за певними фрагментами, зібраним раніше. Так само чинив і я. З клієнтських сайтів збирав шелли, віруси, бекдори, коди редиректів і поступово формував базу сигнатур шкідливого коду. А щоб її було зручно використовувати, написав невеличкий скрипт на PHP.

Поступово сканер обростав корисної функціональністю, і нарешті стало очевидно, що він може бути корисний не тільки мені.
У квітні 2012 року я анонсував скрипт AI-Bolit на декількох форумах, а через півроку він став основним засобом пошуку шкідливого коду у веб-майстрів і адмінів хостингів. Що стосується сумарної статистики, то за півтора року скрипт скачали більше 64 тисяч раз. А ще на скрипт отримано авторське свідоцтво в Роспатенті.

особливості сканера

Основна відмінність AI-Bolit від існуючих на сьогоднішній день сканерів вірусів і шкідливого коду на сервері - це використання патернів як вірусних сигнатур. Пошук шкідливого коду відбувається по базі регулярних виразів, а не хешу або контрольних сумах, що дозволяє виявляти навіть модифіковані та обфусцірованние шелли, вставлені в шаблони або скрипти CMS.

Сканер може працювати в режимі швидкого сканування (тільки по PHP-, HTML, JS-, htaccess-файлів), в режимі «експерта», виключати директорії і файли по масці. А також має велику базу CRC white-листів популярних CMS, що значно скорочує кількість помилкових спрацьовувань.

На даний момент в базі сканера понад 700 сигнатур шкідливих скриптів. Сигнатури є регулярні вирази, що дозволяє знаходити, наприклад, ось такі обфусцірованние шелли і бекдори, які ні LMD з ClamAV, ні вже тим більше десктопні антивіруси не знаходять:

Сигнатури є регулярні вирази, що дозволяє знаходити, наприклад, ось такі обфусцірованние шелли і бекдори, які ні LMD з ClamAV, ні вже тим більше десктопні антивіруси не знаходять:

Фрагмент шелла 1 Фрагмент шелла 1   Фрагмент шелла 2   Фрагмент шелла 3 Фрагмент шелла 2 Фрагмент шелла 3

Базу сигнатур регулярно поповнюють новими знайденими зразками як фахівці з «Ревізіума», так і користувачі скрипта, що дозволяє підтримувати сканер в актуальному стані.

Інтерфейс AI-Bolit

Інтерфейс AI-Bolit дуже простий. Це PHP-скрипт, який може працювати в режимі командного рядка через PHP CLI або відкриватися в браузері з URL http: //сайт/ai-bolit.php? P = пароль.

Результатом роботи скрипта є звіт, який складається з чотирьох секцій:

  1. Статистика та загальна інформація про скрипт.
  2. Червона секція критичних зауважень зі списком знайдених Шелл, вірусів та іншого шкідливого коду (або схожих на шкідливий код фрагментів).
  3. Помаранчева секція попереджень (підозрілі фрагменти коду, які часто використовуються в хакерських інструментах).
  4. Синя секція рекомендацій (список відкритих на запис каталогів, настройки PHP та інше).

Користувач аналізує отриманий звіт, переглядаючи сніппети, знаходить і видаляє шкідливі скрипти і фрагменти коду вручну за допомогою інструментів командного рядка або програм пошуку та заміни рядків у файлах.

Основна проблема, c якої зазвичай стикається розробник сканера вірусів, - це пошук золотої середини між «параноїдальний» (чутливістю) сканера і числом помилкових спрацьовувань. Якщо для пошуку шкідливого коду використовувати тільки фіксовані рядки, то ефективність сканера стає низькою, тому що не будуть знайдені обфусцірованние фрагменти, код з пробілами і табуляціями, хитро відформатований код. Якщо ж шукати по гнучким паттернам, то висока ймовірність помилкових спрацьовувань, коли гарантовано безпечні скрипти відзначаються як шкідливі.

В AI-Bolit я вирішую цю проблему за допомогою використання двох режимів роботи ( «звичайний» / «експертний») і white-листів для відомих CMS.

Майбутнє AI-Bolit

У планах з розвитку скрипта - велика кількість корисних фіч і інтеграція з іншими антивірусними рішеннями. Один з ключових моментів - це інтеграція AI-Bolit з базами ClamAV і LMD. Так AI-BOLIT зможе шукати руткіти і шелли ще і по контрольних сумах.

Друга важлива річ в черзі на імплементацію - це зручний інтерфейс для аналізу табличних звітів з пошуком і гнучкими фільтрами. Можна буде відсівати знайдені файли по розширень, сортувати за розміром, контрольних сумах і так далі.

Третім пунктом стоїть реалізація асинхронного сканування за допомогою AJAX, що дозволить вирішити проблему перевірки сайтів, розміщених на слабких хостингах, на яких обмежено споживання CPU або час роботи скрипта. На даний момент це вирішується тільки скануванням копії сайту локально або на іншому, більш потужному сервері. Ну і звичайно, постійні оновлення баз сигнатур шкідливого коду.

На закінчення

Код скрипта відкритий, розміщений на GitHub, тому будь-який бажаючий може внести свій вклад в розвиток даного проекту. Ваші пропозиції та побажання надсилайте мені на [email protected] .

Php?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: