ربما يواجه كل من يقوم بإنشاء مواقع فيروسات وأحصنة طروادة على الموقع. المشكلة الأولى هي ملاحظة المشكلة في الوقت المناسب ، حتى اللحظة التي تلتقط فيها المشاريع التشاؤم من محركات البحث أو الأعباء على المضيف (ddos ، spam).

تتم كتابة هذه المقالة في مطاردة ساخنة ، عندما تكون مصادر موقع ESET أثناء النسخ الاحتياطي العادي لجهاز يعمل بنظام Windows حماية ذكيةفجأة بدأ يحلف على الصور التي اعتبرها فيروسا. اتضح أنه بمساعدة الصور ، غمر الباب الخلفي FilesMan الموقع.

كانت الفتحة هي أن البرنامج النصي الذي سمح للمستخدمين بتحميل الصور إلى الموقع تحقق من أن الصورة تم تحميلها بواسطة امتداد الملف فقط. لم يتم التحقق من المحتوى على الإطلاق. لا تحتاج إلى القيام بذلك ؛) نتيجة لذلك ، أي phpتحت ستار الصورة. لكن الأمر لا يتعلق بالثقوب ...

النقطة المهمة هي أنه كانت هناك مهمة فحص يومي لكل ملفات الموقع بحثًا عن الفيروسات وأحصنة طروادة.

فحص موقع بحثًا عن فيروسات عبر الإنترنت

جميع أنواع عمليات فحص المواقع بحثًا عن الفيروسات عبر الإنترنت ليست مناسبة لهذه الأغراض من الكلمة على الإطلاق. تتصرف برامج الزحف عبر الإنترنت مثل روبوت محرك البحث ، حيث تمر بشكل تسلسلي عبر جميع الصفحات المتاحة في الموقع. يتم الانتقال إلى الصفحة التالية من الموقع من خلال روابط من صفحات أخرى في الموقع. رد. إذا قام المهاجم بتحميل باب خلفي إلى موقعك باستخدام صورة ولا يوجد رابط لهذه الصورة في أي مكان على صفحات الموقع ولم يقم بتشويه الموقع ، تمامًا مثل وضع فيروس على الصفحات ، فحينئذٍ الدفع عبر الانترنيتموقع الفيروسات ببساطة لن يجد هذه الصورة ولن يجد الفيروس.

أنت تسأل ، لماذا يفعل المهاجم هذا؟ لماذا تقوم بتحميل باب خلفي ولا تفعل شيئًا؟ سأجيب - عن البريد العشوائي ، من أجل ddos. عن أي نشاط ضار آخر لا يؤثر على صفحات الموقع بأي شكل من الأشكال.

باختصار ، يعد فحص موقع ما عبر الإنترنت بحثًا عن فيروسات عديم الفائدة تمامًا من أجل راحة البال الكاملة.

البرنامج المساعد للتحقق من موقع WordPress بحثًا عن الفيروسات وأحصنة طروادة

يوجد برنامج إضافي ممتاز لمكافحة الفيروسات لـ WordPress. تسمى. في حالتي ، وجد صورًا من FilesMan تمامًا ونظف الموقع من الفيروسات. لكن له عيبًا مهمًا. أثناء الفحص ، فإنه يعطي حملًا كبيرًا على الخادم ، لأنه يقوم ببساطة بفرز جميع الملفات بالتسلسل. بالإضافة إلى ذلك ، يتم السحب من الصندوق يدويًا فقط. لا يمكن أتمتة التحقق من الموقع باستخدام مكون إضافي.

حسنًا ، يمكنك التقاط فيروس يتجاوز WordPress ، فأنت بحاجة إلى شيء عالمي.

التحقق من محتوى الموقع باستخدام برنامج مكافحة فيروسات عادي

كما ذكرنا سابقًا ، تم اكتشاف المشكلات تمامًا عن طريق الصدفة بواسطة برنامج مكافحة فيروسات سطح المكتب العادي أثناء النسخ الاحتياطي. بالطبع ، يمكنك تنزيل الموقع بالكامل كل يوم والتحقق منه باستخدام أحد برامج مكافحة الفيروسات العادية. كل هذا عملي جدا.

• أولا ، أريد الأتمتة. ليكون الاختيار الوضع التلقائيوتم إصدار تقرير نهائي.
• ثانيًا ، هناك مواقع كهذه ليس من الواقعي تنزيلها كل يوم ،

جرب AI-Bolit

شيء ما مع المقدمة شددت. نتيجة لجميع عمليات البحث ، وجدت ملف مضاد فيروسات مجانيللموقع. . يتضمن برنامج مكافحة الفيروسات هذا مخططات مختلفة لاستخدامه. استخدمته عبر ssh.

ما إذا كان من الممكن استخدامه على الاستضافة المشتركة - لم أفهم ، لكنني أعتقد أنه ممكن. تمت كتابة AI-Bolit بلغة php ويمكن تشغيله من متصفح. لذلك ، من الناحية الفنية البحتة ، من المحتمل أن يكون ذلك ممكنًا على نظام أساسي مشترك.

الأهمية! لا يعالج Aibolit موقع الفيروسات - إنه يكتشفها فقط وتقارير الملفات التي تعتبرها خطيرة. وأنت تقرر ماذا تفعل معهم. لذلك ، لن يعمل النقر ببساطة على الزر بغباء ومعالجة الموقع من أحصنة طروادة.

كيفية استخدام AI-Bolit على VDS مع ssh

يحتوي Aibolit على إرشادات وفصول رئيسية حول كيفية استخدام برنامج مكافحة الفيروسات هذا. بشكل عام ، التسلسل بسيط:

• تحميل
• فك الحزمة إلى الخادم (قمت بفك ضغطها إلى / الجذر / ai)
• ثم من وحدة التحكم ssh قم بتشغيل php /root/ai/ai-bolit/ai-bolit.php
• قد يستغرق التحقق ساعات ، حسب حجم الموقع
• بناءً على نتائج الفحص ، سيتم إنشاء ملف تقرير AI-BOLIT-REPORT-<дата>-<время>.لغة البرمجة

ستكون الملفات التي بها مشاكل مرئية في ملف التقرير ، إن وجدت.

حمولة عالية على الخادم

المشكلة الرئيسية التي تواجهها عند التحقق تلقائيًا من موقع ما بحثًا عن فيروسات هي الحمل على الخادم. تعمل جميع برامج مكافحة الفيروسات بنفس الطريقة ، حيث تقوم بالفرز بالتسلسل من خلال جميع الملفات المتاحة. ويبدو أن aibolit ليست استثناء هنا. إنه يأخذ ببساطة جميع الملفات ويفحصها واحدة تلو الأخرى. يقفز الحمل وقد يستغرق وقتًا طويلاً وهو أمر غير مقبول في الإنتاج.

لكن aibolit لديه فرصة مجنونة (بشرط أن يكون لديك خادم كامل أو vds مع وصول إلى الجذر). أولاً ، بالنسبة إلى aibolit ، يمكنك إنشاء قائمة بالملفات للتحقق منها ، ثم تغذية هذه القائمة. ثم سوف يذهب aibolit ببساطة فوق هذه القائمة.

لتشكيل القائمة ، يمكنك استخدام أي من طرق الخادم. حصلت على نص bash هذا:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN = "website" AI_PATH = "/ root / ai" NOW = $ (date + " ٪ F-٪ k-٪ M-٪ S ") # يمكنك إنشاء مجلد عام تحت الوصول بكلمة مرور REPORT_PATH =" $ AI_PATH / Reports / $ DOMAIN- $ NOW.html "SCAN_PATH =" / home / azzrael / web / $ DOMAIN / public_html / "SCAN_DAYS = 90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode = 1 --path = $ SCAN_PATH --report = $ REPORT_PATH # مسح فقط الملفات المعدلة في X أيام # AI-BOLIT-DOUBLECHECK.php hardcoded بواسطة مؤلف aibolit إلى - with-2check !!! اعثر على $ SCAN_PATH -type f -ctime - $ SCAN_DAYS> "$ AI_PATH / ai-bolit / AI-BOLIT-DOUBLECHECK.php" #find $ SCAN_PATH -type f -name "* .ph *" -ctime - $ SCAN_DAYS> " $ AI_PATH / ai-bolit / AI-BOLIT-DOUBLECHECK.php "#find $ SCAN_PATH -type f -ctime - $ SCAN_DAYS>" $ AI_PATH / ai-bolit / AI-BOLIT-DOUBLECHECK.php "#find $ SCAN_PATH.php f -name "* .ph *" -o -name "* .gif" -ctime - $ SCAN_DAYS> "$ AI_PATH / ai-bolit / AI-BOLIT-DOUBLECHECK.php" php "$ AI_PATH / ai-bolit / ai -bolit.php "--mode = 1 --report = $ REPORT_PATH - with-2check #history -c

هنا يمكنك أن ترى أنه من خلال الأمر find نقوم بجمع جميع الملفات التي تم إنشاؤها في SCAN_DAYS الأخير ، وحفظها في قائمة AI-BOLIT-DOUBLECHECK.php (للأسف ، كان من المستحيل إعادة تسمية ملف القائمة في وقت الاستخدام) ، ثم نقوم بإطعام هذه القائمة إلى الأيبوليت. يمكن أن تكون SCAN_DAYS مساوية ليوم واحد. إذا وضعت bash /root/ai/run.sh في cron اليومي ، فقد لا تكون قائمة الملفات المراد فحصها كبيرة جدًا. رد. لن يستغرق التحقق الكثير من الوقت ولن يتم تحميل الخادم بشكل كبير.

في الآونة الأخيرة ، في أحد مشاريعي ، لاحظت إعادة توجيه إلى مورد إعلان تابع لجهة خارجية. لا يعد هذا اختراقًا واضحًا للموقع عندما يتوقف عن العمل تمامًا ، ولكن طريقة خفيةسرقة المرور. على سبيل المثال ، يمكن للمهاجم فقط إعادة توجيه المستخدمين باستخدام أجهزة محمولةأو جعل إطلاق النص غير دائم حتى لا يلاحظ صاحب المشروع فقدان الجمهور. مهما كان الأمر ، فهذا ليس جيدًا جدًا لموقعك ، سواء من حيث الزوار الذين لا يصلون إلى الصفحات الصحيحة ، ويمكن أن يتسبب في مشاكل من جانب محركات البحث إذا انتقلت إعادة التوجيه فجأة إلى مصدر به فيروسات.

دعونا نلقي نظرة على واحدة اليوم مفيدة PHPبرنامج AI Bolit الذي يسمح لك بالعثور على فيروسات عند الاستضافة من أجل التخلص من مختلف كود خبيث. الحل مجاني تمامًا وليس من الصعب استخدامه.

يحتوي هذا البرنامج النصي على 3 خيارات للإصدار:

• AI Bolit لنظام التشغيل Windows - يسمح لك بتحليل الموقع محليًا ، بعد تنزيله على جهاز الكمبيوتر الخاص بك.
• الخيار الكلاسيكي لفحص الاستضافة بحثًا عن الفيروسات (مناسب أيضًا لنظامي التشغيل Unix و Mac OS X).
• ماسح ويب جديد (ReScan.pro) - يتحقق من صفحات الموقع على الإنترنت.

الخيار الأخير ، كما تفهم ، هو الأبسط ، ومع ذلك ، فهو لا ينظر مباشرة إلى الملفات الموجودة على الاستضافة ، ولكنه يقوم فقط بمسح انتقائي لبعض صفحات الويب. لا يمكن لمثل هذا الفحص السطحي أن يخبرك بالمصدر المحدد للمشكلة على الموقع ، ولكنه سيساعدك في العثور عليها.

بالنسبة لبعض المستخدمين ، يبدو أن الإصدار الأكثر شيوعًا وبساطة من البرنامج النصي AI Bolit لنظام التشغيل Windows هو الأكثر شيوعًا. يعمل الكثير من الأشخاص مع نظام التشغيل هذا. ومع ذلك ، ما زلت أوصي بإجراء فحص فيروسات على الاستضافة. لا يوجد شيء معقد هنا ، وسأخبر الجميع بمزيد من التفصيل أدناه.

مبدأ التشغيل وميزات AI Bolit

لاستخدام AI Bolit ، عليك اتباع الخطوات التالية:

• قم بتنزيل البرنامج النصي من موقع البرنامج.
• فك وتحميله على الاستضافة.
• قم بتشغيل AI Bolit كما هو موضح في الوثائق.
• بعد الانتهاء من الفحص تحصل على نتيجة تحليل الموقع.
• ثم يمكنك حل المشكلات بنفسك أو طلب المساعدة من المتخصصين.

النقطة الأخيرة تشرح لماذا يكون هذا رائعًا وقويًا برنامج phpيتم توزيع AI Bolit مجانًا. أعتقد أنه بعد اكتشاف المشاكل والفيروسات على الاستضافة ، يلجأ العديد من المستخدمين إلى المطورين لخدمات المتابعة. إنه نهج منطقي تمامًا. بالمناسبة ، الحل حاصل على براءة اختراع وله خوارزمية فريدة ، ويوصي المضيفون المشهورون باستخدامه في عملهم. أتذكر ذات مرة أنني طلبت المساعدة من الدعم الفني لمزود خدمة الاستضافة حول المشكلات في موقع واحد ، لذلك أطلقوا فحص استضافة بحثًا عن فيروسات بمساعدة AI Bolit. بعد تلك الحادثة اكتشفت وجود هذا الحل :)

المزايا والميزات الرئيسية لـ AI Bolit:

• بحث أنواع مختلفةالأكواد الخبيثة: الفيروسات ، القذائف ، الأبواب الخلفية ، نقاط الضعف العامة في البرامج النصية ؛
• توزيع مجاني
• استخدام تحليل إرشادي خاص حاصل على براءة اختراع ؛
• سهلة التركيب والتكوين نسبيًا ؛
• قاعدة بيانات محدثة من الفيروسات والبرامج النصية الضارة ؛
• فحص الاستضافة بحثًا عن فيروسات لأي مواقع و CMS ؛
• العمل مع أنظمة تشغيل مختلفة: Windows و Unix و MacOS ؛
• توصيات من شركات الاستضافة الرائدة.

كيفية استخدام AI Bolt

1. يمكن تنزيل برنامج AI Bolit النصي باتباع هذا الرابط على الموقع مع وصفه. هناك يوصى باختيار الإصدار العالمي (!) للتحقق من الاستضافة بحثًا عن الفيروسات. بعد ذلك ، سيبدأ التنزيل التلقائي لملف ai-bolit.zip.

2. الخطوة التالية هي التفريغ والتحميل إلى الاستضافة. للعمل مع FTP أستخدم برنامج مجاني FileZilla (عميل FTP رائع). بعد فك ضغط ai-bolit.zip ، ستجد وثائق التثبيت داخل ملف readme.txt. يمكنك التحقق من ذلك إذا كنت تريد.

تعريف ("PASS"، "؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟")؛

وانتم تدخلون بدلا من الرموز ؟؟؟ معناها. حفظ الملف.

4. ثم انسخ المحتويات الكاملة للمجلد / ai-bolit / على استضافتك إلى الدليل الجذر (على سبيل المثال ، لـ WP ، هذا هو المكان الذي يوجد فيه wp-config).

5. بعد تحميل البرنامج النصي على الخادم ، تحتاج إلى تشغيل AI Bolit باستخدام الرابط الموجود في شريط العنوان في متصفحك:

https: //your_site_address/ai-bolit.php؟ p = your_password

بعد فترة ، ستتلقى تقرير فحص فيروسات على الاستضافة.

في هذا المثال ، يبدو أن الشيك وجد إعادة توجيه مشبوهة للهاتف المحمول موجودة في حالة فشل ، لكنني أضفتها بنفسي. أيضًا ، تم العثور على أكواد الطرف الثالث في بعض ملفات القوالب (ليست موجودة في لقطة الشاشة ، لأنني قمت بالفعل بتنظيف كل شيء).

6. بعد أن يكمل برنامج AI Bolit scanner عمله ، يجب أن تتأكد من حذف جميع ملفاته من FTP (الذي قمت بتنزيله في الخطوة الرابعة) مع التقرير.

أخيرًا ، أود أن أشير إلى أن البرنامج النصي يحتوي على وضعان للتحقق: سريع و "بجنون العظمة". في الحالة الأولى ، يتم التحقق فقط من ملفات js و php و html و htaccess ، وتسمح لك الحالة الثانية بتشغيل AI Bolit بالكامل. للقيام بذلك ، في ملف إعدادات ai-bolit.php ، اضبط قيمة "scan_all_files" => 1 متغير ، أو استخدم ارتباطًا بمعامل إضافي لتشغيل البرنامج النصي:

https: //your_site_address/ai-bolit.php؟ p = your_password & ممتلئ

تشير الوثائق إلى أنه قبل إعادة التشغيل ، تحتاج إلى حذف AI-BOLIT-DOUBLECHECK.php ، على الرغم من أنني شخصياً لم يكن لدي مثل هذا الملف على FTP. في readme.txt ستجد أيضًا معلومات حول كيفية التحقق من موقع مستضاف بحثًا عن فيروسات عبر SSH. تتشابه خوارزمية الإجراءات ، ولكن بعد نسخ جميع ملفات البرنامج النصي إلى FTP ، قم بتشغيلها باستخدام الأمر:

php ai-bolit.php

نتيجة لذلك ، سيتم إنشاء ملف تلقائيًا تقرير AI-BOLIT-<дата>-<время>.لغة البرمجةمع نتائج الاختبار. من حيث المبدأ ، لا يوجد شيء معقد ، ولكن يمكنك الاطلاع على الأسئلة الشائعة للحصول على إجابات إضافية للأسئلة.

بشكل عام ، تمكنت من فحص الموقع بحثًا عن فيروسات باستخدام AI Bolit بسهولة تامة - لقد وجدت المشكلة وقمت بإزالتها في 10 دقائق. يتم تنزيل الماسح الضوئي مجانًا من هنا ، ثم تحتاج إلى تكوين وتشغيل AI Bolit باستخدام رابط خاص في المتصفح ، ثم اعرض النتائج. كيفية إصلاح الفيروسات والأبواب الخلفية والأصداف هي مسألة مختلفة قليلاً. في أبسط الحالات (مثل حالتي مع إعادة التوجيه) ، يمكنك ببساطة إزالة الشفرة الضارة من الملفات. إذا لم تكن على دراية جيدة بهذا الأمر أو كانت المهمة معقدة للغاية ، فيمكنك طلب استشارة / خدمة مدفوعة من مطوري البرنامج النصي. لن يساعدوا فقط في إزالة الفيروس على الاستضافة ، ولكن أيضًا تحسين حمايته.

AI-Bolit هو ماسح ضوئي مجاني متقدم للأبواب الخلفية وقذائف المتسللين والفيروسات والمداخل. البرنامج النصي قادر على البحث عن التعليمات البرمجية الضارة والمريبة في البرامج النصية ، ويكشف عن روابط البريد العشوائي ، ويعرض إصدار CMS والإعدادات الهامة لأمان الخادم.

تكمن فعالية الماسح في استخدام الأنماط والاستدلال ، بدلاً من بحث التجزئة المعتاد.

تاريخ الخلق

حاليا ، سوق لبرامج مكافحة الفيروسات ل حواسيب شخصيةمتطور للغاية: حلول معروفة من Kaspersky و Dr.Web و McAfee و Norton و Avast وغيرها. مع أدوات فحص الفيروسات والأكواد الضارة لمواقع الويب ، لن تكون الأمور وردية. مسؤولي النظامومالكي المواقع ، الذين يشعرون بالقلق إزاء مشكلة العثور على تعليمات برمجية ضارة على خوادمهم ، يضطرون إلى استخدام نصوص مكتوبة ذاتيًا تبحث عن الفيروسات والأصداف باستخدام أجزاء معينة تم جمعها مسبقًا. فعلت الشيء نفسه. الأصداف المجمعة والفيروسات والأبواب الخلفية وإعادة توجيه الرموز من مواقع العملاء وشكلت تدريجيًا قاعدة بيانات لتوقيعات الشفرات الضارة. ولتسهيل استخدامه ، قمت بكتابة نص صغير بلغة PHP.

تدريجيًا ، اكتسب الماسح وظائف مفيدة ، وأصبح من الواضح أخيرًا أنه قد يكون مفيدًا ليس فقط بالنسبة لي.
في أبريل 2012 ، أعلنت عن البرنامج النصي AI-Bolit في العديد من المنتديات ، وبعد ستة أشهر أصبح الأداة الرئيسية للبحث عن التعليمات البرمجية الضارة من مشرفي المواقع ومسؤولي الاستضافة. بالنسبة للإحصاءات الإجمالية ، في عام ونصف تم تنزيل السيناريو أكثر من 64 ألف مرة. وحصل النص على شهادة حقوق التأليف والنشر في Rospatent.

ميزات الماسح الضوئي

يتمثل الاختلاف الرئيسي بين AI-Bolit والماسحات الضوئية للفيروسات والرموز الضارة الموجودة حاليًا على الخادم في استخدام الأنماط كتوقيعات فيروسات. يعتمد البحث عن التعليمات البرمجية الضارة على التعبيرات العادية ، وليس على تجزئة أو مجاميع اختبارية ، مما يجعل من الممكن اكتشاف القذائف المعدلة والمبهمة المدرجة في القوالب أو البرامج النصية لنظام إدارة المحتوى.

يمكن للماسح الضوئي أن يعمل في وضع المسح السريع (فقط لملفات PHP و HTML و JS و htaccess) ، في وضع "الخبير" ، واستبعد الدلائل والملفات حسب القناع. كما أن لديها قاعدة بيانات كبيرة لقوائم CRC البيضاء الخاصة بـ CMS الشائعة ، مما يقلل بشكل كبير من عدد ملفات ايجابيات مزيفة.

حاليًا ، تحتوي قاعدة بيانات الماسح الضوئي على أكثر من 700 توقيع للنصوص الضارة. التوقيعات التعبيرات العادية، والذي يسمح لك بالعثور ، على سبيل المثال ، على مثل هذه الأصداف والأبواب الخلفية المبهمة التي لا يستطيع LMD مع ClamAV ولا حتى برامج مكافحة الفيروسات على سطح المكتب العثور عليها:

يتم تحديث قاعدة بيانات التوقيع بانتظام بعينات جديدة يجدها كل من المتخصصين في Revizium ومستخدمي البرامج النصية ، مما يسمح لك بالحفاظ على الماسح الضوئي محدثًا.

واجهة AI-Bolit

واجهة AI-Bolit بسيطة للغاية. هذا نص PHP يمكن تشغيله بتنسيق سطر الأوامرعبر PHP CLI أو فتح في متصفح بعنوان URL http: //website/ai-bolit.php؟ p = password.

نتيجة السيناريو عبارة عن تقرير يتكون من أربعة أقسام:

1. إحصائيات ومعلومات عامة حول البرنامج النصي.
2. قسم الملاحظات الهامة باللون الأحمر مع قائمة بالقذائف التي تم العثور عليها والفيروسات والشفرات الخبيثة الأخرى (أو أجزاء مشابهة للشفرة الخبيثة).
3. قسم التحذير البرتقالي (مقتطفات التعليمات البرمجية المشبوهة التي تُستخدم غالبًا في أدوات القرصنة).
4. القسم الأزرق للتوصيات (قائمة الدلائل مفتوحة للكتابة ، إعدادات PHP ، إلخ).

يقوم المستخدم بتحليل التقرير المستلم عن طريق عرض المقتطفات والعثور على البرامج النصية الضارة وأجزاء التعليمات البرمجية وإزالتها يدويًا باستخدام أدوات أو برامج سطر الأوامر للعثور على السلاسل واستبدالها في الملفات.

المشكلة الرئيسية التي يواجهها مطور ماسح الفيروسات عادة هي إيجاد حل وسط بين "البارانويا" (حساسية) الماسح وعدد الإيجابيات الخاطئة. إذا تم استخدام السلاسل الثابتة فقط للبحث عن التعليمات البرمجية الضارة ، فإن كفاءة الماسح الضوئي تصبح منخفضة ، حيث لن يتم العثور على الأجزاء المبهمة ، والتعليمات البرمجية التي تحتوي على مسافات وعلامات تبويب ، والتعليمات البرمجية المنسقة بذكاء. إذا كنت تبحث عن أنماط مرنة ، فهناك احتمال كبير للإيجابيات الخاطئة عندما يتم تمييز البرامج النصية الآمنة المضمونة على أنها ضارة.

في AI-Bolit أقرر هذه المشكلةباستخدام وضعين للتشغيل ("عادي" / "خبير") والقوائم البيضاء لنظام إدارة المحتوى المعروف.

مستقبل AI-Bolit

تتضمن خطط تطوير البرنامج النصي عددًا كبيرًا من الميزات المفيدة والتكامل مع حلول مكافحة الفيروسات الأخرى. إحدى النقاط الرئيسية هي تكامل AI-Bolit مع قواعد ClamAV و LMD. لذلك ، سيتمكن AI-BOLIT من البحث عن الجذور الخفية والأصداف أيضًا عن طريق المجاميع الاختبارية.

الشيء الثاني المهم في قائمة انتظار التنفيذ هو واجهة ملائمة لتحليل التقارير المجدولة باستخدام عوامل التصفية والبحث المرنة. سيكون من الممكن تصفية الملفات التي تم العثور عليها حسب الامتدادات والفرز حسب الحجم والمجاميع الاختبارية وما إلى ذلك.

النقطة الثالثة هي تنفيذ المسح غير المتزامن باستخدام AJAX ، والذي سيحل مشكلة فحص المواقع المستضافة على استضافة ضعيفة ، والتي لها استهلاك محدود لوحدة المعالجة المركزية أو وقت تشغيل البرنامج النصي. في الوقت الحالي ، لا يمكن حل هذا إلا عن طريق مسح نسخة من الموقع محليًا أو على خادم آخر أكثر قوة. وبالطبع التحديثات المستمرة لقواعد بيانات توقيع البرامج الضارة.

أخيراً

كود البرنامج النصي مفتوح ومستضاف على GitHub ، بحيث يمكن لأي شخص المساهمة في تطوير هذا المشروع. أرسل اقتراحاتك وتمنياتك لي في [بريد إلكتروني محمي].

هناك حالة مشكلة - موقع به فيروسات.

الآن سأوضح كيف يمكن العثور على هذا الفيروس وتدميره بسهولة. أولاً وقبل كل شيء ، تحتاج إلى تنزيل الموقع إلى اللغة - فمن الأسهل بكثير التحقق من مجموعة الملفات بهذه الطريقة.

هذا النص مأخوذ من وصف الفيديو ، لذا فهو فوضوية ومملة بعض الشيء. ومع ذلك ، فإن بقية كتاباتي)

سنقوم بتنزيل Filezilla. سأقوم بالتنزيل على الفور إلى الخادم المحلي المثبت - افتح الخادم - حتى أتمكن من تشغيله محليًا ، إذا كنت بحاجة إليه.

إذا كان لديك برنامج مكافحة فيروسات مثبتًا يقوم بفحص الملفات بسرعة ، فهناك احتمال أن تجد فيروسات في بعض الملفات أثناء التنزيل. ابحث في سجلات برنامج مكافحة الفيروسات الخاص بي.

في حالتي أمان Microsoftلم يُظهر شيئًا - لم يكن الفيروس معروفًا له.

للبحث ، سأستخدم مضاد فيروسات خاص - Aibolit. موقع المطور http://revisium.com/ai/
أنصحك بالذهاب ومشاهدة الندوة. لا تزال الملفات قيد التنزيل ، وسوف يستغرق الأمر وقتًا طويلاً. لدي بالفعل نسخة محلية جاهزة ، لقد لعبت بالأمس باستخدام برنامج مكافحة الفيروسات هذا.

لذلك ، بالنسبة للعمل ، ما زلنا بحاجة إلى php للنوافذ. تنزيل هنا http://windows.php.net/download/ احدث اصدارللنوافذ في أرشيف مضغوط. تفريغ مكان مناسب لك.

نعم. التحضير انتهى. الآن للعمل.

قم بتنزيل الأرشيف باستخدام Aibolit.

يوجد ثلاثة مجلدات بالداخل:

• ai-bolit - جوهر برنامج مكافحة الفيروسات نفسه
• known_files - إصدارات ملفات قاعدة بيانات مكافحة الفيروسات لمحركات مختلفة
• الأدوات هي أداة مساعدة.

لذلك ، لنبدأ في تنظيف الموقع من الفيروسات

1. انسخ جميع الملفات من مجلد ai-bolit إلى جذر الموقع
2. إذا عرفنا المحرك الذي لدينا ، فإننا نختار المجلد الذي يحتوي على CMS في مجلد known_files وتحميل جميع الملفات إلى الجذر. في حالتي ، محرك WordPress ، سنتعامل مع الفيروسات بقواعد بيانات مكافحة الفيروسات لـ WordPress. إذا كنت تريد فقط التحقق من كل شيء ، فيمكنك تحميل قواعد بيانات مكافحة الفيروسات من جميع المحركات - ربما ستجد شيئًا أكثر)
3. لقد نسيت مرة أخرى - تحتاج إلى تحديد وضع التشغيل الخبير في إعدادات Aibolit. لهذا محرر النصافتح ملف ai-bolit.php وابحث عن تعريف السطر ('AI_EXPERT'، 0) ؛ غيّر "0" إلى "1" وهذا كل شيء - يتم تمكين وضع الخبير.
4. الآن - أنت بحاجة إلى فك ضغط أرشيفنا المضغوط c php في مجلد ما حيث يكون من المناسب العمل معه. نحتاج إلى ملف - php.exe
5. الآن نحن بحاجة إلى تشغيل الملف القابل للتنفيذ لبرنامج مكافحة الفيروسات الخاص بنا. للقيام بذلك ، انقر نقرًا مزدوجًا فوق ai-bolit.php. لدي بالفعل خيار لكيفية تنفيذ هذا البرنامج النصي.

أود أن أقترح الاحتفاظ فقط بمجلد التحميل ومجلد السمة الخاص بك. سيتم تنزيل المكونات الإضافية ، وستبقى الإعدادات في قاعدة البيانات - لن تتأثر بالفيروسات. تحقق من الموضوع يدويًا لجميع الملفات - لحسن الحظ لا يوجد الكثير منها ، إذا لم يتم تنضيد الموقع بواسطة مصمم تخطيط أخرق. وأعد ملء كل شيء آخر في المحرك. هذه هي الطريقة الأكثر موثوقية.

وأذكرك أيضًا أنه من المحتمل أن يكون لديك فيروسات في جميع أنحاء حساب الاستضافة الخاص بك (نادرًا ما يتمكنون من التنقل بين حسابات مستخدمين مختلفين ، فقط إذا كان مسؤول الاستضافة هو krivoruk.)

إذا تم حذف Aibolit لسبب ما على الموقع ، فيمكنك دائمًا تنزيل برنامج مكافحة فيروسات للموقع مني

الفيروسات حزينة

ملاحظة: مقالتان حول كيفية تنظيف الفيروسات الموجودة بالفعل:

• أبسط - كيفية إزالة فيروس من موقع مجانًا
• للمتقدمين -

كنت أبحث على الإنترنت عن مظهر مجاني "مدفوع" للموقع. لحسن الحظ ، يوجد عدد كافٍ من هذه المواقع. صحيح ، إنهم ينسخون بعضهم البعض =) من تجربة العمل مع مثل هذه القوالب ، علمت أنه في بعض الأحيان يتعين عليك الدفع بالكامل مقابل هذه الهدية الترويجية. نظرًا لأن الأشخاص السيئين جدًا يقومون بإدخال جميع أنواع الأشياء السيئة في مثل هذه القوالب ، مما قد يتسبب في مشاكل كبيرة جدًا للمبرمجين المحترمين. أتذكر أن برنامج مكافحة الفيروسات ESET الخاص بي يستخدم للعثور على base64 والشتائم. الآن هو لا يقسم أيضًا. هذا يعني أنه إذا قمت بالتحقق من أحد برامج مكافحة الفيروسات ، فلن يساعدك ذلك.

قبل Ai-Bolit ، راجعت الملفات مع Total Commander بحثًا عن محتويات كلمات معينة ، واعتمادًا على ما وجدته ، قمت بفحصها وتصحيحها. ولكن هذه مهمة شاقة للغاية. وشرعت في العثور على أفضل وأسرع حل البحث. وتم العثور عليه. هذا هو - AI-Bolit - برنامج نصي مجاني فريد للكشف عن الفيروسات وأحصنة طروادة والأبواب الخلفية وأنشطة المتسللين على الاستضافة.

وهكذا ، ما يمكن أن يفعله هذا البرنامج النصي:

• ابحث عن الفيروسات ، وجميع أنواع البرامج النصية الخبيثة والمتطفلة على الاستضافة: قذائف تعتمد على التوقيعات ، وقذائف تعتمد على الاستدلال البسيط - كل شيء لا تستطيع برامج مكافحة الفيروسات العادية العثور عليه.
• العمل مع جميع أنظمة إدارة المحتوى الأكثر شيوعًا دون استثناء ، بما في ذلك joomla و wordpress و drupal و bitrix ...
• ابحث عن عمليات إعادة التوجيه في htaccess إلى المواقع الضارة
• ابحث عن كود sape / trustlink / linkfeed في ملفات .php
• تحديد المداخل
• تظهر الدلائل مفتوحة للكتابة
• ابحث عن الروابط غير المرئية في القوالب

لماذا هذا البرنامج النصي مطلوب؟

يمكن للمخترق المتمرس اختراق أي موقع تقريبًا. وموقعك قد لا يكون استثناء. لماذا موقع اختراق خطير؟ بعد الوصول إلى الموقع ، يمكن للمهاجم القيام بما يلي:

• "دمج" حركة المرور الخاصة بك إلى مشاريعك
• تنزيل محتويات الخادم وقاعدة البيانات للبيع لأطراف ثالثة
• تغيير الاتصال أو معلومات الدفع على الموقع
• يقوم بتنزيل البيانات الشخصية للمستخدمين
• سيضع المداخل مع روابط البريد العشوائي على موقعك
• إدخال فيروسات أو أحصنة طروادة أو عمليات استغلال في صفحات الموقع ، مما يؤدي إلى إصابة الزوار
• سوف ترسل بريد مزعج من الخادم الخاص بك
• سيبيع الوصول إلى الموقع المخترق إلى مهاجمين آخرين لاختراق لاحق غير مصرح به
• وهلم جرا ... إنه أمر محزن. نعم؟

يسمح لك Ai-Bolit باكتشاف الكثير من البرامج الضارة وتغييرات الاستضافة المشبوهة في الوقت المناسب ، مما يقلل من خطر التعرض للحظر محركات البحثلانتشار الفيروسات ووجود مداخل. كما يسمح لك بالتعرف في الوقت المناسب على التسريبات المحتملة للمعلومات والمشكلات الأخرى المتعلقة بموقعك. بارد!!!

كيفية استخدام البرنامج النصي

توجد تعليمات واضحة جدًا في أرشيف البرنامج النصي. بشكل افتراضي ، يقوم "الطبيب" بالمسح في الوضع العادي بأقل عدد من التوقيعات وحد أدنى من الإيجابيات الكاذبة.

هناك خياران للتحقق. كلاهما موصوف في التعليمات. سأقدم فقط الأول - مبسط.

خيار تشغيل المتصفح (لا يوصى به لأنه يقوم فقط بإجراء مسح سريع)

• تحميل الأرشيف مع النص (رؤية الملفات المرفقة)
• فك الضغط
• تغيير كلمة المرور في تعريف السطر ("PASS" ، "put_any_strong_password_here_8_symbols_min") ؛
• تمكين وضع "الخبير" في تعريف السطر ("AI_EXPERT" ، 0) ؛ // استبدل 0 بـ 1
• انسخ الملفات من المجلد / ai-bolit / إلى الخادم في الدليل الجذر
• انسخ من مجلد know_files الملفات التي تطابق cms
• افتح في المتصفح http://sitename.com/ai-bolit.php؟p=My456Pass123 وانتظر التقرير
• !!! بعد عرض التقرير احذف الملفات من الايبوليت والسكربت نفسه من الموقع !!!

هذا كل شئ. بعد ذلك ، سيظهر تقرير أمامك ويبقى عليك متابعة الأخطاء وإصلاح الثغرات الأمنية.

ردود الفعل

المؤلف شخص طيب للغاية. دائما يجيب. إذا كان لديك أي رغبات أو أسئلة ، يرجى الكتابة إلى:
الويب: http://www.revision.com/ai/
البريد الإلكتروني: [بريد إلكتروني محمي]
سكايب:جريج زيمسكوف