Как проверить сайт на вирусы онлайн сервисами AI-Bolit, Manul, RWP Checker. Проверка сайта на вирусы айболит


Как проверить сайт на вирусы с помощью AI-Bolit

Проверить сайт на вирусы AI-Bolit

Наверное каждый кто создает сайты сталкивается с вирусняками и троянами на сайте. Первая проблема вовремя заметить проблему, до момента когда проекты схватят пессимизацию от поисковиков или посыпятся обузы хостеру ( за ддос, спам ).

Эта статья пишется по горячем следам, когда во время обычного бэкапа на машину под виндой исходников сайта ESET Smart Security вдруг начал ругаться на картинки, которые счел вирусняком. Оказалось что с помощью картинок на сайт был залит бэкдор FilesMan.

Дыра была в том, что скрипт позволявший загружать юзерам картинки на сайт проверял что загружается картинка лишь по расширению файла. Содержимое не проверялось совсем. Так делать не надо ;) В итоге на сайт можно было загрузить любой php файл под видом картинки. Но речь не о дырках…

Речь о том что возникла задача ежедневной проверки все файлов сайта на вирусняки и трояны.

Проверка сайта на вирусы онлайн

Онлайн всякие проверки сайта на вирусы не подходят для этих целей от слова совсем. Онлайн сканеры ведут себя как робот поисковика, последовательно проходя все доступные страницы сайта. Переход на следующую страницу сайта происходит по ссылкам с других страниц сайта. Соотв. если злоумышленник залил вам бэкдор на сайт с помощью картинки и ссылки на эту картинку нигде на страницах сайта нет и дефейсить сайт не стал, также как вешать вирусняк на страницы, то онлайн проверка сайта на вирусы просто эту картинку не найдет и вируса не найдет.

Зачем, вы спросите, злоумышленнику так делать? Зачем заливать бэкдор и ничего не делать? Отвечу – для спама, для ддоса. Для другой вредоносной активности, которая никак не отражается на страницах сайта.

Одним словом онлайн проверка сайта на вирусы совершенно бесполезна для полного спокойствия.

Плагин для проверки WordPress сайта на вирусы и трояны

Для вордпресса есть отличный антивирусный плагин. Называется он Anti-Malware Security and Brute-Force Firewall . В моем случае он отлично находил картинки с FilesMan чистил сайт от вирусов. Но у него есть важный недостаток. Во время проверки он дает дикую нагрузку на сервер, потому что просто последовательно перебирает все файлы. Кроме того проверка из коробки делается только в ручную. Автоматизировать проверку сайта с плагином не возможно.

Ну и подхватить вирусняк можно и мимо вордпресса, нужно что-то универсальное.

Проверка содержимого сайта обычным антивирусом

Как и было сказано выше проблемы и были обнаружены совершенно случайно обычным десктопным антивирусом во время бэкапа. Конечно можно каждый день скачивать весь сайт и проверять обычным антивирусом. Все это вполне работоспособно.

Но:

  • во-первых, хочется автоматизации. Чтобы проверка была в автоматическом режиме и по итогам был готовый отчет.
  • во-вторых, есть такие сайты, что выкачивать их каждый деть просто не реально,

Пробуем AI-Bolit

Что-то со вступлением я затянул. В итоге всех поисков нашелся прекрасный БЕСПЛАТНЫЙ антивирус для сайта. AI-Bolit. Этот антивирус подразумеваем разные схемы его использования. Я его использовал через ssh.

Можно ли его использовать на шаред хостинге – не разбирался, но думаю это возможно. AI-Bolit написан на php и у него есть возможность запуска из браузера. Поэтому чисто технически – наверное можно и на шареде.

Важно! Айболит не лечит сайт от вирусов – он их ТОЛЬКО НАХОДИТ и дает отчет какие файлы он считает опасными. А уж что с ними делать вы решаете сами. Поэтому просто тупо нажать на кнопку и вылечить сайт от троянов не получится.

Как пользоваться AI-Bolit на VDS с ssh

У айболита есть отличный раздел на сайте с инструкциями и мастер-классами по использованию этого антивируса. В общем случае последовательность простая:

  • качаем архив
  • распаковываем на сервер (я распаковывал в /root/ai )
  • далее из консоли ssh запускаем php /root/ai/ai-bolit/ai-bolit.php
  • проверка может занять часы, в зависимости от объема сайта
  • по итогам проверки будет сформирован файл отчета AI-BOLIT-REPORT-<дата>-<время>.html

В файле отчета будут видны проблемные файлы, если таковые найдутся.

Большая нагрузка на сервер

Главная проблема с которой сталкиваешься с при автоматической проверке сайта на вирусы – это нагрузка на сервер. Все антивирусы действуют одинаково, последовательно перебирая все доступные файлы. И айболит тут вроде бы не исключение. Он просто берет все файлы и последовательно их проверяет. Нагрузка подскакивает и это может длиться долго, что не приемлимо в продакшене.

Но у айболита есть чумовая возможность (при условии что у вас полноценный сервер или вдс с рут доступом). Сначала для айболита можно сформировать список файлов для проверки, а потом скормить этот список. Тогда айболит просто пробежится по этому списку.

Для формирования списка можно пользоваться любыми способами сервера. У меня получился вот такой баш скрипт:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN="azzrael.ru" AI_PATH="/root/ai" NOW=$(date +"%F-%k-%M-%S") # можно сделать публичную папку под парольным доступом REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$DOMAIN/public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # Скан только файлов измененных за Х дней # AI-BOLIT-DOUBLECHECK.php захардкодено автром айболита на --with-2check !!! find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name '*.ph*' -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name '*.ph*' -o -name '*.gif' -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai-bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

# bash /root/ai/run.sh

# https://revisium.com/kb/ai-bolit-console-faq.html

DOMAIN="azzrael.ru"

 

AI_PATH="/root/ai"

NOW=$(date +"%F-%k-%M-%S")

 

# можно сделать публичную папку под парольным доступом

REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html"

 

SCAN_PATH="/home/azzrael/web/$DOMAIN/public_html/"

SCAN_DAYS=90

 

 

#php /home/admin/ai/ai-bolit/ai-bolit.php  --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH

 

# Скан только файлов измененных за Х дней

# AI-BOLIT-DOUBLECHECK.php захардкодено автром айболита на --with-2check !!!

 

find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php"

#find $SCAN_PATH -type f -name '*.ph*' -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php"

#find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php"

#find $SCAN_PATH -type f -name '*.ph*' -o -name '*.gif' -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php"

php "$AI_PATH/ai-bolit/ai-bolit.php"  --mode=1 --report=$REPORT_PATH --with-2check

#history -c

Здесь видно, что через команду find мы собираем все файлы созданные за последние SCAN_DAYS, сохраняем их в список AI-BOLIT-DOUBLECHECK.php ( к сож. переименовать файл списка, на момент использования, было нельзя ), затем скармливаем этот список айболиту. SCAN_DAYS может быть равным одному дню. Если поставить bash /root/ai/run.sh в ежедневный крон, то список файлов на проверку может быть не очень большим. Соотв. проверка займет не много времени и не будет сильно нагружать сервер.

azzrael.ru

Сканер AI-BOLIT для Windows 7,8,10

AI-BOLIT для Windows (для Win32 и Win64):

Мы подготовили специальный архив, в котором есть сканер AI-BOLIT и все необходимые вспомогательные файлы, для того чтобы он запустился на Windows. Кроме данного архива ничего дополнительно устанавливать не требуется. Скачать AI-Bolit для Windows

Скачайте данный архив, распакуйте в любую папку, названную латинскими буквами на любом диске и следуйте инструкции из файла readme.txt.

Внимание! не должно быть русских букв в названии папок, где размещен архив с AI-BOLIT'ом.

Самый надежный вариант анализа полученного отчета - обратиться к специалистам по информационной безопасности. Архив с отчетом и файлами карантина (AI-QUARANTINE-XXXXX.zip) можно прислать для анализа нам на [email protected] с пометкой "Анализ отчета AI-BOLIT". Мы подскажем, где вредоносный код, а где ложные срабатывания.

Важно! Никогда не публикуйте отчет о сканировании на форумах и других сайтах в открытом доступе, и не оставляйте отчет на сайте. В нем содержится информация, которая может помочь хакеру взломать сайт. Держите отчет в безопасном месте и предоставляйте доступ к нему только проверенным людям.

Что делать, если вы видите данную ошибку при запуске сканера?

Данная ошибка возникает из-за отсутствия необходимых обновлений в Windows 7 или Windows 8.

В первую очередь устанавливаем обновление от Microsoft (оно универсальное для обеих версий):https://support.microsoft.com/ru-ru/help/2999226/update-for-universal-c-runtime-in-windows

Если этого не достаточно, то через стандартный механизм Windows Update устанавливаем все недостающие обновления.

Что делать, если вы видите данную ошибку при запуске сканера?

Данная ошибка возникает из-за конфликта версий php. Данный архив содержит версию php 5.5. Если у вас была ранее установлена другая версия php (из дистрибутива php или в составе пакетов Denwer, XAMPP, OpenServer, winginx, и аналогичных), необходимо деинсталлировать старую версию PHP и перезагрузить Windows.

Если возникнут проблемы, напишите нам в комментариях к статье.

Обсуждаем и комментируем

revisium.com

Часто задаваемые вопросы по скрипту Aibolit.

Вернуться на страницу сканера.

0. На моем хостинге скрипт завершается через некоторое время с сообщением "Killed" ("Terminated") или работа скрипта прерывается без объяснения причин

На некоторых хостингах стоит ограничение на максимальный порог нагрузки CPU во время выполнения команд из командной строки. При превышении лимита процесс автоматически завершается ядром операционной системы. На таких хостингах, бывает, не работает даже gzip. Вывод - на вашем хостинге не получится проверить сайт в режиме командной строки.Воспользуйтесь инструкцией для сканирования сайта локально.

1. После открытия скрипта в браузере отображается белая страница

Если через некоторое время скрипт выдает белую страницу, скорее всего означает, что у вас очень много файлов на хостинге и скрипт не успевает проверить их все в течение отведенного времени. Время определяется настройками PHP и веб-сервера, обычно отводится 30 секунд на то, чтобы скрипт завершил свою работу. В противном случае выдается либо белая страница, либо 504 Gateway Timeout, либо 502 Bad Gateway.

Возможные решения проблемы:

  1. Просканировать сайт локально, у себя на компьютере
  2. Увеличить max_execution_time в php.ini или (если позволяют настройки веб-сервера) в .htaccess. Например, поставить 30 минут, а не 30 секунд.
  3. Запустить скрипт не из браузера, а из командной строки. Для этого нужно иметь доступ к серверу через SSH. Для запуска наберите:

    php ai-bolit.php

    Если интерпретатор php у вас не прописан в пути, то нужно указать до него полный путь, например так

    /usr/bin/php ai-bolit.php

    В результате исполнения скрипта будет создан файл AI-BOLIT-REPORT-<дата>_<время>.html, который будет содержать результат работы скрипта. Этот файл можно открыть в любом браузере.

    Внимание! Если сделать php ai-bolit.php > result.html - вы не увидите процесса проверки, и в result.html не будет результата проверки. Результат всегда в AI-BOLIT-REPORT-_.html.

Из двух вариантов второй является более предпочтительным, так как выполняет полную проверку на вредоносные скрипты.

Если скрипт сразу выдает белую страницу - смотрите error_log, в нем должна быть ошибка. Либо можете включить в .htaccess опцию error_reporting и посмотреть сообщение об ошибке прямо в браузере.

2. После запуска скрипта отображается 502 Bad Gateway или 504 Gateway Timeout

Смотрите ответ №1.

3. Может ли скрипт лечить сайт автоматически?

Ai-Bolit - это сканер вредоносного кода на сайте. Он не умеет лечить сайт, но зато лучше всех обнаруживает хакерские скрипты и вирусы.

4. Нужно ли обращать внимание на предупрежения, которые выдает скрипт?

В результатах работы важно смотреть не только на список найденных шеллов, но и на предупреждения. Они так же важны, как и блок критических замечаний, потому что в большинстве случаев скрипт не может принять 100% решение о том, что найденная последовательность - вредоносный код. Все предупреждения требуют дальнейшего внимания администратора сайта.

5. Почему скрипт не может на 100% определять все шеллы или дорвеи?

Скрипт содержит огромное количество сигнатур (фрагментов) шелл-скриптов и дорвеев, и ищет точное совпадение по ним. Но, к сожалению, постоянно появляются новые шеллы, а также модифицированные версии существующих и список сигнатур не может покрыть все множество хакерских инструментов. Поэтому в скрипте реализован эвристический алгоритм поиска подозрительного: ищутся подзрительные функции, а также зашифрованные последовательности. И, в случае обнаружения, пользователю выдается предупреждение. Далее ответственность администратора сайта - провести анализ и определить, действительно ли найденная последовательность является телом вредоностого скрипта. Несмотря на то, что могут быть и ложные срабатывания, лучше перестраховаться. То есть лучше обнаружить безопасный код и выдать предупреждение, чем пропустить вредоносный.

6. Как исключить некоторые каталоги из сканирования?

Создайте рядом с ai-bolit.php файл .adirignore (начинается с точки). Поместите в него фрагмент или полный путь до каталога, который надо игнорировать по одному фрагменту на строку. При запуске скрипта эти каталоги будут опущены. В конце отчета будут перечислены исключенные каталоги.

7. Неплохо было бы иметь возможность запускать скрипт по расписанию и результат высылать на почту

Есть такая возможность. Смотрите пункт 10.

8. Ваш скрипт оказался мне очень полезным, как я могу вас отблагодарить?

Как можно отблагодарить написано здесь.

9. Как узнать, что нового появилось в скрипте?

В архиве рядом с ai-bolit.php лежит changelog.txt. В нем написано, что нового появилось в каждой версии.

10. Как запустить скрипт из командной строки?

php ai-bolit.php - по-умолчаниюphp ai-bolit.php --help - справка по аргументам командной строкиphp ai-bolit.php -r [email protected] - отправить отчет на emailphp ai-bolit.php -r ./aibolit-report.html - сохранить отчет в файл

11. Как я могу использовать ваш скрипт или сигнатуры в коммерческих целях?

Скрипт бесплатный только для личного некоммерческого использования (частными вебмастерами для своих некоммерческих проектов). В случае, если вы планируете использовать сканер AI-BOLIT для оказания коммерческих услуг (лечение, диагностика на вирусы, мониторинг заражений), либо скрипт используется внутри компании на коммерческом сайте, вам необходимо приобрести лицензию на коммерческое использование. Напишите нам на [email protected]

Владелец лицензии получает нашу техническую поддержку по сканеру, возможность официально оказывать коммерческие услуги с применением сканера AI-BOLIT, доступ к приоритетным обновлениям, которые выходят несколько раз в месяц (стандартный период обновления - раз в 4-5 недель) и прямую ссылку на загрузку сканера для партнеров.

Данный скрипт и сигнатуры являются продуктом интеллектуального труда и являются объектом права интеллектуальной собственности, защищаемой авторским правом. Про авторское право (ГК РФ) и последствия его нарушения (УК РФ).

В случае приобретения лицензии вы автоматически становитесь партнером, размещаетесь как партнер на сайте в соответствующем разделе и рекламируетесь за счет этого все оставшееся время. Так что честным быть выгодно!

Продажа скрипта, использование фрагментов исходного кода и баз сигнатур без письменного согласия правообладателей запрещена.

В настоящий момент лицензию на коммерческое использование уже приобрели несколько десятков хостинг-компаний, веб-студий и фрилансеров для осуществления сканирования и лечения сайтов на коммерческой основе.

Получено авторское свидетельство на скрипт AI-BOLIT в РосПатенте.

12. Как защитить сайт от вирусов?

Читайте статью по защите сайта от вирусов, шеллов и другого вредоносных скриптов.

13. В отчете выдает ошибку, что при запуске указан неправильный пароль

Проверьте, какая сборка PHP у вас установлена на хостинге. Может быть два варианта: php-cli или php-cgi. Вам нужна php-cli. Под php-cgi из командной строки работать не будет.

Проверить тип сборки php можно так:php -v

14. У меня в консоли есть только сборка php-cgi. Как использовать скрипт AI-BOLIT?

Есть два варианта:

  1. попросить админов или саппорт хостинга собрать вам отдельный php-cli (или может быть он уже есть на хостинге, только надо спросить путь до интерпретатора)
  2. скачать с сайта php.net сборку php под windows, выгрузить свой сайт на локальный компьютер и проверить на нем

15. Я не могу (не хочу) разбираться в работе с командной строкой и UNIX'ом. Что делать?

Вы всегда можете обратиться к нам в "Ревизиум" для диагностики, лечения и защиты сайтов от взлома.

16. На хостинге скрипт не работает. Какие есть еще варианты проверить мой сайт?

Читайте статью, как проверить сайт на локальном компьютере

Вернуться на страницу скрипта

© 2018 «Ревизиум»

revisium.com

Как работать со сканером AI-BOLIT из командной строки

Наибольший функционал доступен при запуске сканера AI-BOLIT в режиме командной строки. Это можно делать как локально на компьютере под Windows/Unix/Mac OS X, так и непосредственно на хостинге, если у вас есть доступ по SSH и хостинг не сильно ограничивает потребляемые ресурсы процессора.

Обращаем внимание, что для запуска сканера требуется консольная версия PHP 5.3 и выше. В версии 5.2 будет ошибка "Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or '}' in /home/ХХХ/ai-bolit.php on line...". Проверьте текущую версию командой php -v

Справка по параметрам командной строки сканера AI-BOLIT

Показать помощь

php ai-bolit.php --help

Исключить из сканирования медиа-файлы (рекомендуется только для экспресс-проверки на взлом)

php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov

Просканировать только определенные расширения

php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl

Подготовить файл карантина для отправки специалистам по безопасности. Будет создан архив AI-QUARANTINE-XXXX.zip с паролем.

php ai-bolit.php --quarantine

Запустить сканер в режиме "параноидальный" (рекомендуется для получения максимально-детализированного отчета)

php ai-bolit.php --mode=2

Запустить сканер в обычном режиме (рекомендуется для оценки заражения)

php ai-bolit.php --mode=1

Проверить один файл "pms.db" на вредоносный код

php ai-bolit.php -jpms.db

Запустить сканер с размером памяти 512Mb

php ai-bolit.php --memory=512M

Установить максимальный размер проверяемого файла 900Kb

php ai-bolit.php --size=900K

Делать паузу 500ms между файлами при сканировании (для снижения нагрузки)

php ai-bolit.php --delay=500

Отправить отчет о сканировании на email [email protected]

php ai-bolit.php [email protected]

Создать отчет в файле /home/scanned/report_site1.html

php ai-bolit.php --report=/home/scanned/report_site1.html

Просканировать директорию /home/s/site1/public_html/ (отчет по-умолчанию будет создан в ней же, если не задана опция --report=файл_отчета)

php ai-bolit.php --path=/home/s/site1/public_html/

Выполнить команду по завершении сканирования.

php ai-bolit.php --cmd="~/postprocess.sh"

Получить отчет в текстовом виде (plain-text) с именем site1.txt

php ai-bolit.php -lsite1.txt

Можно комбинировать вызовы, например,

php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,suspected

Комбинируя вызов сканера AI-BOLIT c другими командами unix, можно выполнять, например, пакетную проверку сайтов. Ниже приведем пример проверки нескольких сайтов, размещенных внутри аккаунта. Например, если сайты размещены внутри директории /var/www/user1/data/www, то команда на запуск сканера будет

find /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path={} --mode=2 \;

Добавив параметр --report можно управлять каталогом, в котором будут создаваться отчеты о сканировании. 

php ai-bolit.php список параметров … --eng

Переключить интерфейс отчета на английский. Данный параметр должен идти последним.

Интеграция с другими сервисами и в панель хостинга

php ai-bolit.php --json_report=/path/file.json

Cформировать отчет в формате json

php ai-bolit.php --progress=/path/progress.json

Cохранять статус проверки в файл в формате json. Данный файл будет содержать структурированные данные в формате json: текущий файл проверки, сколько файлов проверено, сколько файлов осталось проверить, процент проверки, время до завершения сканирования. Данный механизм можно использовать, чтобы в панели показывать прогресс-бар и данные о проверяемых файлах. По завершении сканирования файл удаляется автоматически.

php ai-bolit.php --handler=/path/hander.php

Внешний обработчик событий. Вы можете добавить собственные обработчики начала/завершения сканирования/прогресса сканирования/ошибки сканирования. Пример файла можно посмотреть в архиве сканера, в каталоге tools/handler.php. Например, по завершении сканирования можно что-то сделать с файлом отчета (отправить по почте, запаковать в архив и пр).

Другие статьи по сканеру

Более продвинутые варианты запуска сканера читайте во второй части: "Мастер-класс по работе сканера AI-BOLIT".

Хостинг-компаниям рекомендуем посмотреть FAQ по интеграции сканера в панель.

Скачать AI-BOLIT

 

Обсуждаем и комментируем

revisium.com

AI-Bolit, Manul, RWP Checker - инструкция пользования антивирусами для сайта

AI-Bolit, Manul, RWP Checker - онлайн сканеры сайта на вирусы

Привет уважаемые читатели seoslim.ru! Вопрос безопасности сайтов был и будет оставаться одним из важнейших в жизни владельцев площадок, ведь никому не хочется потерять то над чем работаешь годами.

Как правило заражение файлов вирусами, троянами, червями и иным вредоносным кодом несет ряд проблем, куда под номером один стоит поставить потерю позиций сайта в ТОП выдаче если поисковые системы, определят сайт как не безопасный.

Про заражение сайтов вирусами и решение подобных ситуаций у меня на блоге уже неоднократно обсуждалось, рекомендую прочитать предыдущие посты:

Как проверить сайт на вирусы и защититься от вредоносного кода Iframe

Атака на блог — PHP.Hide

В этой же статье я хочу на практике проверить парочку популярных и бесплатных онлайн сканеров для поиска вирусов, и вредоносного кода на сайте от Revisium и Yandex.

Предыстория сегодняшнего поста была следующая...

В очередной раз при посещении личного кабинета своего хостинг-провайдера Макхост я обнаружил уведомление в отчете антивируса.

Макхост проверка сайтов на вирусы

Оказалось, что файлы на двух моих сайта были заражены Троянами. Ну что же для меня это не в первой, подумаешь в очередной раз придется проверить компьютер антивирусом и сменить все доступы к сайту.

После того как все манипуляции по защите выполнены надо найти вредоносный код во всех файлах площадки.

В первую очередь я воспользовался известными сервисами обнаружения вирусов на сайте: VirusTotal, Antivirus-alarm, Xseo но все они показывали что мои проекты безопасны и не содержат сомнительный код.

Тогда я вспомнил что давно хотел попробовать в действии бесплатную утилиту Manul от Яндекса, скрипт RWP Checker и сканер AI-Bolit от компании Revisium, как они справились с поставленной задачей читайте далее.

Manul — бесплатный антивирус для сайта

Так как я продуктам Яндекса больше всего доверяю то было решено начать с его разработки под названием Manul.

Это специальная утилита, которую на до скачать и установить в корень сайта, затем запустить сканирование, и она покажет какие фалы заражены, и где именно сидит сомнительный код.

Далее вы можете передать полученный отчет специалистам или с помощью Анализатора отправить опасные файлы на карантин либо их удалить.

Первым делом переходим по адресу yandex.by/promo/manul и скачиваем утилиту себе на компьютер.

скачать антивирус Manul

Далее загружаем Манул в корень сайта и там его распаковываем.

Так как у меня корневая папка в Макхосте начинается с /httpdocs поэтому закидываю антивирусник туда.

загружаем Манул на сайт

Теперь нам надо запустить закаченный на сайт антивирус от Яндекса.

Для этого в адресной строке браузера вводите ваш_сайт/manul/index.php и придумываете пароль для доступа к Manul.

запуск Manul

На следующем этапе жмем кнопку «Начать сканирование» и ждем пока не будут проверены все файлы сайта.

сканирование сайта

Когда проверка файлов закончится надо будет скачать отчет, который в будущем можно показать специалисту.

Ну а если специалиста нет, тогда можно проверить этот файл в Анализаторе Яндекса.

скачать архив с отчетом

На той странице где был скачен Манул, перейдите во вкладку Анализатор и жмите «Запустить».

запуск Анализатора Яндекс

Затем загружаем полученный ранее файл о проверке сайта из Манула и анализируем полученные данные.

Все вредоносные файлы будут помечены красным значком, а подозрительные желтым.

В моем примере утилита без проблем определила два вредоносных файла из трех (если сравнивать с отчетом из Макхоста), а третий посчитала только подозрительным.

Но меня больше всего интересовал сам Троян, то есть как выглядит вредоносный код, чтобы я его смог найти и удалить.

Для этого разворачиваем скрытый список напротив каждого файла и видим начало опасного кода.

проверка файлов в анализаторе Яндекс

опасный код Троян

Последним шагом остается только скачать файл и вручную удалить опасный участок кода.

Также Анализатор по средствам Манула позволяет отправить зараженный файл в карантин или его напрочь удалить.

Для этого нажмите на требуемое действие «Карантин» или «Удалить», в окне «Предписание» скопируйте полученную команду и выполните ее в Мануле в разделе «Лечение».

предписание

лечение

После завершения всех процедур по лечению сайта от вирусов можно удалить папку Manul с хостинга сайта.

RWP Checker — скрипт проверки зараженных шаблонов сайтов

Далее я решил проверить свои зараженные сайты с помощью продуктов от компании Revisium.

Одним из распространенных является специальный скрипт для экспресс-проверки шаблонов, работа которого чем-то напоминает Manul.

Здесь тоже надо скачать файл, распаковать его в корень сайта и запустить. После анализа файлов скрипт можно удалить.

На деле все выглядит следующим образом...

Переходим на страницу revisium.com/rwp/ и скачиваем скрипт RWP Checker.

скачать RWP Checker

Далее распаковываем архив на компьютере, в папке будет находиться файл rwp_checker.php, который в дальнейшем надо закачать на хостинг в корневую папку сайта.

файл на хостинге

После этого в адресной строке браузера вводим ваш_сайт/rwp_checker.php и запускаем скрипт.

пример работы скрипта RWP Checker

Увы, но никаких подозрительных файлов RWP Checker не смог найти на сайте. Похоже Трояны он не умеет определять. 🙁

После проверки не забудьте удалить скрипт с хостинга.

AI-Bolit — сканер вирусов и вредоносных скриптов

В качестве третьего сканера сайта я решил выбрать еще один продукт от Revisium под названием AI-Bolit, который как заявляют разработчики умеет:

  • находить все типы вирусов и вредоносные коды;
  • отыскивает уязвимости в скриптах;
  • проверяет любые CMS;
  • работает с любой ОС (Windows, Unix, Mac).

Но это пока что на словах, теперь давайте посмотрим, как этот сканер покажет себя на деле.

Для этого переходим на страницу revisium.com/ai/ и скачиваем AI-Bolit для хостинга.

скачать AI-Bolit

Теперь самое главное, данный сканер может удаленно делать как экспресс-проверку, так и полную проверку сайта.

Во втором случае отчет будет максимально подробный и велика вероятность, что найти вирусов удастся больше, однако потребуется подключиться к серверу по SSH дабы получить право выполнять команды в командной строке.

SSH — простыми словами означает защищенный сетевой протокол, с его помощью можно управлять сервером.

Так как для многих SSH это темный лес и не всем хостинг-провайдер его предоставляет, поэтому я покажу на своем примере как сделать экспресс-проверку сайта.

Распаковываем скаченный ранее архив и открываем любым редактором файл ai-bolit.php, который лежит в /ai-bolit/ — конечная папка.

файл ai-bolit.php

В этом файле предстоит отыскать строку define ('PASS'... и во вторые кавычки (вместо восклицательных знаков) вписать свой пароль.

редактирование файла ai-bolit.php

Не забудьте сохранить изменения и после этого копируем все файлы из /ai-bolit/ в корень сайта.

файлы в корне сайте

После этого указываете в адресной строке любого браузера параметр ваш_сайт/ai-bolit.php?p=придуманный_пароль и ждете пока закончится сканирование сайта.

Через минуту я мог видеть следующую информацию о проверке файлов сайта.

отчет от ai-bolit

Как видно сканер AI-Bolit даже с помощью экспресс-анализа смог без труда найти 3 зараженных файла и указать на вредоносный код.

На этом у меня все, теперь вы имеете представление о том, как найти зараженные файлы сайта и определить где именно сидит подозрительный код на примере популярных сканеров, утилит и скриптов (Manul, AI-Bolit, RWP Checker).

А вы уже протестировали бесплатные антивирусы, мне интересно ваше мнение?

seoslim.ru

Сканер AI-BOLIT. Новый. Улучшенный.

С каждым релизом сканера вирусов и вредоносных скриптов AI-BOLIT мы стараемся его максимально улучшить.

Что появилось нового в AI-BOLIT за последние пару релизов:

  • Продвинутый поиск вирусов и хакерских скриптов

    Мы работаем с зараженными сайтами и регулярно обнаруживаем новые образцы вредоносного кода, поэтому в каждой новой версии AI-BOLIT включено несколько десятков новых вирусных сигнатур. Каждая сигнатура – это не фиксированная строка, а шаблон, позволяющий найти целое семейство хакерских скриптов и вирусных фрагментов. Таким образом добавление в AI-BOLIT десятка сигнатур увеличивает число определяемых зараженных скриптов в сотни раз.

    В настоящее время хакеры стараются максимально скрыть присутствие своих скриптов на взломанном сайте, для этого используются различные методы шифрования, обфускации, полиморфные фрагменты, техники косвенных вызовов, подгрузка кода из внешних источников данных и т.п. Поэтому задача сканера, научиться распознавать и такие сложные случаи, так как их сейчас подавляющее большинство.

    Многие опытные вебмастера и системные администраторы пользуются своими наработками, выполняя поиск по базе фрагментов «вредоносов». Это хорошо работало раньше, когда код скриптов был открыт и неизменен. Сейчас поиск по фиксированным фрагментам работает плохо. Перед тем как обнаружить фрагмент, нужно выполнить “нормализацию” файла:

    1. перекодировать из UTF-8/UTF-16 в ISO формат
    2. расшифровать его
    3. удалить квантификатор @, переводы строк, пробельные символы и т.п.
    4. использовать вирусное правило (шаблон), по которому обнаружить код
    5. проверить дополнительные критерии (время создания, атрибуты)
    6. и пр.

    Все это сделать простым поиском с помощью юниксовских find/grep или самописным скриптом на питоне проблематично. Но только с помощью предварительного преобразования, которое выполняется в нашем сканере, можно достоверно определять современные вредоносные скрипты.

    Если ваш скрипт умеет обнаруживать подобные фрагменты, у вас очень хороший скрипт. Но скорее всего этого он сделать не сможет, так как код хакерского скрипта меняется от копии к копии (смотрите пример на первом скриншоте), и обычным поиском по фрагментам найти его не удастся.

    Текущая версия сканера их легко обнаруживает.

  • Карантин

    Мы понимаем, что для лечения сайта не достаточно просканировать сайт на вредоносные и хакерские скрипты и по отчету удалить все “красные файлы”. Необходимо разобраться, где в отчете хакерские вставки, где шеллы, а где – так называемое “ложное срабатывание”. Мы бесплатно консультируем веб-мастеров, если они присылают нам отчет на [email protected] в .zip архиве.

    Но иногда возникает необходимость более детально изучить некоторые вредоносные скрипты, так как в отчете приведен только небольшой фрагмент, из которого не всегда очевидна опасность кода. Поэтому мы реализовали специальный механизм архивирования всех “красных файлов” из отчета (вирусных или потенциально опасных), а также информацию о дате и времени их изменения, которую назвали “Карантин”. Архив с карантинными файлами запаролен. Его можно безопасно переслать нам на [email protected] для анализа.

    Чтобы при проверке сайта автоматически создавался архив с подозрительными файлами, запустите айболит с параметром

    php ai-bolit.php --quarantine  

    По окончании сканирования будет создан файл AI-QUARANTINE-<число>.zip. Его можно передать специалисту.

    Внимание! Не оставляйте файл на сервере и не выкладывайте на форумах, так как в этом файле может содержаться конфиденциальная информация (например, если заражен файл wp-config.php или configuration.php, в котором есть логин и пароль от базы данных сайта, то он также попадет в архив).

  • Ускорение

    Наши программисты проделали большое исследование по повышению производительности сканирования файлов на PHP и использованием регулярных выражений. Мы сделали несколько прототипов с различным типом сигнатур и выбрали наиболее оптимальный вариант. С уверенностью можем сказать, что для текущего функционала сканера это максимум, что можно “выжать” из PHP.

    Кроме того мы обнаружили, что в PHP под ОС Windows существует ошибка в функции istrpos(), которая в разы замедляет работу сканера. Мы переделали механизм сканирования констант, что в целом положительно сказалось на скорости проверки сайта.

    Для тех, кто сканирует свои сайты массово, можно отключить прогресс-сканирования и выполнять проверку сайтов “в один проход”. Это будет еще быстрее. Для этого можно запустить сканер с опцией

    php ai-bolit.php --one-pass

    В AI-BOLIT’е теперь есть возможность проверки выборочных файлов и каталогов. Не секрет, что дольше всего проверяются изображения JPG,PNG,GIF и другие медиа-файлы. Для экспресс-проверки файлов сайта достаточно указать список исключаемых из сканирования расширений, эти файлы не будут проверяться. Строка запуска AI-BOLIT для экспресс-сканирования может выглядеть следующим образом:

    php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,movВнимание! Данный вариант подходит только для экспресс-проверки файлов, но для лечения сайта необходимо проверять все медиа-форматы, так как в них также могут быть вирусы и хакерские скрипты.

  • Новый прогресс сканирования

    Вместе с прогнозом окончания сканирования мы добавили отображения прогресса сканирования в виде %.

  • Новые сниппеты

    Исправлена ошибка, которая не отображался сниппеты для двоичных файлов (“зараженные” медиа-файлы, и т.п.) Сейчас все непечатные символы будут отображаться в виде точек. Также раньше в статистике показывалось и число каталогов, что могло сбивать статистику, сейчас в прогрессе сканирования отображаются только файлы.

  • Мы прислушиваемся к мнению пользователей и будем рады получить от вас новые пожелания, комментарии по текущей версии и предложения. Образцы вредоносных скриптов, которые не определяются сканером в режиме “параноидальный”, пожалуйста, присылайте нам на [email protected]

    Также обращаем внимание на то, что код сканера AI-BOLIT размещен на git. Если у вас есть желание поучаствовать в жизни данного проекта, вы можете предложить новую фичу или багфикс, мы его заинтегрируем в следующих релизах.

    Скачать новую версию сканера можно по адресу http://revisium.com/ai/

    revisium.com

    Защита сайта от вирусов, лечение сайта от вирусов и проверка

    Вообще заражение сайтов вирусами вполне возможная участь для сайта на любой системе cms и для WordPress в том числе. Вылечить сайт от вирусов возможно и вполне быстро, если подходить к этому со знанием, но следует сказать, что чем больше cms распространена, тем больше шансов у неё подхватить какой либо вирус. Однако тут также верно то, что большое распространение рождает и быстрое появление способов лечения сайта.

    Это постоянное соперничество, которого хотелось бы избежать, но к сожалению от проблем никто не застрахован. Поэтому эта статья и возникла на основе моего опыта по выполнению очистки сайтов от вирусов.

    Часть первая: основные правила защиты сайта от вирусов

    Часть первая посвящена как раз таки профилактике заражения. Вроде бы вы поставили сайт, решили добавить себе функционал, залезли на сайты, которые предлагают бесплатно скачать плагин или тему и вот тут вы уже на 90% на сайт закинули себе вирус. Всё, что даётся якобы бесплатно, всегда несёт в себе заложенные несколько строк кода, который потом выльется в закачивание файлов вирусов на сайт и полное заражение.

    Причём это не обязательно может произойти сразу, постепенно, было в практике, что установленная тема заразила сайт спустя месяца два после установки. Отсюда и рождается правило номер один и самое главное, которое вам надо соблюдать: НИКОГДА НЕ СТАВЬТЕ СКАЧАННЫЕ БЕСПЛАТНО ПЛАГИНЫ, ТЕМЫ, КОМПОНЕНТЫ И ПРОЧЕЕ. Это верный шаг к вирусам на сайте.

    Следующее, что необходимо для профилактики заражения сайта знать и понимать: пароли и доступы. Очень часто пишут пароль, который могут запомнить и потом удивляются почему его подобрали. Это также рождает пробелы в защите, поэтому лучше всего генерировать сложные пароли, а далее уже просто себе где нибудь записывать. Время запоминания паролей прошло, сейчас время когда паролей много, поэтому лучше записывайте и сохраняйте в какой нибудь файл нужные вам пароли, но при этом они должны быть сложными.

    Третий важный принцип защиты сайтов от заражений, это человеческий фактор. Нанимаете сделать какую то работу на сайте специалиста, во первых не рискуйте с незнакомым человеком, уточните его репутацию, проверьте его портфолио и поищите отзывы. Необходимо понимать, можно ли ему доверять. И после окончания работы всегда меняйте пароли, просто хотя бы ради того, чтобы потом не грешить мыслями, что специалист вам как то либо повредил.

    Четвертое, это конечно правильно выставленные права на сайте. Папки и файлы сайтов имеют свои права доступа, которые необходимо соблюдать. Обычно разработчики указывают правильные права, старайтесь этот момент контролировать.

    Часть вторая: что делать если сайт поймал вирусы

    Первое что следует понимать при работе с сайтом, который поймал вирус, это конечно тот факт, что неплохо было бы иметь бекап, с помощью которого можно сделать откат и вернуть чистые файлы сайта. Но это не всегда решает проблему до конца. Если один раз заразили, то даже сделав откат файлов, вы вполне можете снова стать жертвой и ваш сайт снова будет заражён.

    Значит правильно сформулированная задача будет выглядеть так: устранить внедрение вирусов на сайт и найти источник проблемы. Причиной как правило могут стать пункты, указанные в первой части, а кроме этого и просто криво написанный код вашего сайта или установленной на нём разработки. Но не всё так страшно, если вы вовремя обратили внимание и пора начинать действовать.

    Действия по очистке сайта от вирусов

    Проверка скриптом айболит.

    Если ввести в поиск “айболит антивирус”, то вам выйдет сайт айболита, который является разработкой для очистки и защиты от вирусов именно web проектов. Есть несколько версия на сайте, вам необходимо скачать windows версию и распаковать у себя на компьютере. Затем надо скачать свой сайт, все файлы и распаковать в папку site, которая находится внутри скрипта Aibolit. Теперь на выбор вам есть несколько вариантов проверки, это просто проверка, проверка с карантином файлов и углубленная проверка. Я бы рекомендовал для первого раза провести проверку с карантином, так как потом вы сможете не просто идти по файлу отчёта, а открыв архив карантина визуально быстро находить зараженные файлы и очищать их, либо если файлы не имеют отношения к системе, то удалять их полностью. Иногда возможны ложные срабатывания, поэтому постарайтесь избегать сразу удаления, проверяйте и сверяйте с оригинальными файлами. После очистки перезаливаете файлы сайта обратно, либо проверяете еще раз айболитом или другими средствами.

    Сайт для проверки файлов сайта на вирусы

    Таких сайтов достаточно много, но после ряда тестирований, я убедился, что реальную проверку даёт только сайт VirusTotal. Он обычно давал всегда самую обьективную оценку и выявлял вирусы в файлах сайта. Из минусов его проверки – он не дает полный список зараженных файлов, поэтому вы можете проверять и затем прогонять айболитом. То есть делать проверку комплексно, либо раздрабливая файлы до момента, когда уже не найдете с помощью virustotal того, что содержит в себе опасные сигнатурыю

    Нанять специалиста для очистки сайта

    Обратиться к специалистам, имеющим опыт работы по очистке сайтов от вирусов. Как правило, это самый надежный вариант, хотя и самый дорогой в итоге. Если очистка вашего сайта для вас имеет ценность, то лучше в идеальном случае обратиться к специалистам.

    Замена файлов сайта на оригинальные

    Перезалить файлы сайта и разработок сверху, изучая структуру папок, нет ли там чужих файлов. Очень нелегкий путь, но тоже достаточно эффективный. Особенно может помочь, если вы с помощью virustotal уже определили папку где именно находится вреденосное содержимое.

    Часть третья: использование плагинов для защиты сайтов на WordPress

    Я протестировал ряд имеющихся плагинов для очистки сайта на WordPress от вирусов и в принципе не смог бы рекомендовать вам 100% вариант. Есть достаточно много ложных срабатываний, очень много изменений он принимает за возможное нарушение и поэтому я решил вынести обзор этих плагинов в отдельную статью, которую скоро и напишу.

    ok2web.ru