Marahil lahat ng gumagawa ng mga site ay nahaharap sa mga virus at trojan sa site. Ang unang problema ay upang mapansin ang problema sa oras, hanggang sa sandaling ang mga proyekto ay nakakuha ng pesimismo mula sa mga search engine o mga pasanin sa hoster (ddos, spam).

Ang artikulong ito ay isinusulat sa mainit na pagtugis, kapag sa panahon ng isang normal na pag-backup sa isang makina sa ilalim ng Windows, ang mga pinagmumulan ng ESET site matalinong seguridad biglang nagsimulang magmura sa mga larawan, na itinuturing niyang virus. Ito ay lumabas na sa tulong ng mga larawan, ang FilesMan backdoor ay binaha sa site.

Ang butas ay na ang script na nagpapahintulot sa mga user na mag-upload ng mga larawan sa site ay nagsuri na ang larawan ay na-load lamang sa pamamagitan ng extension ng file. Ang nilalaman ay hindi pa nasuri. Hindi mo kailangang gawin ito;) Bilang resulta, anuman php file sa ilalim ng pagkukunwari ng isang larawan. Ngunit hindi ito tungkol sa mga butas ...

Ang punto ay mayroong isang gawain ng araw-araw na pagsuri sa lahat ng mga file ng site para sa mga virus at trojan.

Pagsuri sa isang site para sa mga virus online

Ang lahat ng uri ng mga online na pagsusuri sa site para sa mga virus ay hindi angkop para sa mga layuning ito mula sa salita. Ang mga online na crawler ay kumikilos tulad ng isang robot ng search engine, sunud-sunod na dumadaan sa lahat ng magagamit na mga pahina ng site. Ang paglipat sa susunod na pahina ng site ay nangyayari sa pamamagitan ng mga link mula sa iba pang mga pahina ng site. Sinabi ni Resp. kung ang isang umaatake ay nag-upload ng backdoor sa iyong site gamit ang isang larawan at walang link sa larawang ito saanman sa mga pahina ng site at hindi sinira ang site, tulad ng paglalagay ng virus sa mga pahina, kung gayon online check hindi mahahanap ng site para sa mga virus ang larawang ito at hindi mahahanap ang virus.

Bakit, itatanong mo, gagawin ito ng isang umaatake? Bakit mag-upload ng backdoor at walang gagawin? Sasagot ako - para sa spam, para sa ddos. Para sa iba pang nakakahamak na aktibidad na hindi nakakaapekto sa mga pahina ng site sa anumang paraan.

Sa madaling salita, ang online na pagsuri sa isang site para sa mga virus ay ganap na walang silbi para sa kumpletong kapayapaan ng isip.

Plugin upang suriin ang WordPress site para sa mga virus at trojan

Mayroong isang mahusay na antivirus plugin para sa WordPress. Ang tawag dito. Sa aking kaso, perpektong natagpuan nito ang mga imahe mula sa FilesMan at nilinis ang site mula sa mga virus. Ngunit mayroon itong mahalagang sagabal. Sa panahon ng tseke, nagbibigay ito ng ligaw na pagkarga sa server, dahil ito ay nag-uuri sa lahat ng mga file nang sunud-sunod. Bilang karagdagan, ang pag-check out sa kahon ay ginagawa lamang nang manu-mano. Hindi posibleng i-automate ang pag-verify ng site gamit ang isang plugin.

Well, maaari mong mahuli ang isang virus na lumalampas sa WordPress, kailangan mo ng isang bagay na unibersal.

Sinusuri ang nilalaman ng site gamit ang isang regular na antivirus

Tulad ng nabanggit sa itaas, ang mga problema ay natuklasan nang hindi sinasadya ng isang regular na desktop antivirus sa panahon ng isang backup. Siyempre, maaari mong i-download ang buong site araw-araw at suriin ito sa isang regular na antivirus. Ang lahat ng ito ay lubos na magagawa.

• Una, gusto ko ng automation. Para maging tseke awtomatikong mode at isang huling ulat ang ginawa.
• pangalawa, may mga ganitong site na sadyang hindi makatotohanang i-download ang mga ito araw-araw,

Sinusubukan ang AI-Bolit

Bagay sa pagpapakilala kong hinigpitan ko. Bilang resulta ng lahat ng paghahanap, nakakita ako ng isang kahanga-hanga Libreng antivirus para sa site. . Ang antivirus na ito ay nagpapahiwatig ng iba't ibang mga scheme para sa paggamit nito. Ginamit ko ito sa pamamagitan ng ssh.

Posible bang gamitin ito sa nakabahaging pagho-host - Hindi ko maintindihan, ngunit sa palagay ko posible. Ang AI-Bolit ay nakasulat sa php at maaaring patakbuhin mula sa isang browser. Samakatuwid, puro teknikal, malamang na posible sa isang nakabahaging platform.

Mahalaga! Hindi ginagamot ng Aibolit ang site ng mga virus - NAKAKAKITA LAMANG ito at mga ulat kung aling mga file ang itinuturing nitong mapanganib. At ikaw ang magpapasya kung ano ang gagawin sa kanila. Samakatuwid, ang simpleng pag-click sa pindutan at paggamot sa site mula sa Trojans ay hindi gagana.

Paano gamitin ang AI-Bolit sa VDS na may ssh

May mga tagubilin at master class ang Aibolit kung paano gamitin ang antivirus na ito. Sa pangkalahatan, ang pagkakasunud-sunod ay simple:

• download
• i-unpack sa server (na-unpack ko sa /root/ai)
• pagkatapos ay mula sa ssh console tumakbo php /root/ai/ai-bolit/ai-bolit.php
• Maaaring tumagal ng ilang oras ang pag-verify, depende sa laki ng site
• batay sa mga resulta ng tseke, isang file ng ulat na AI-BOLIT-REPORT- ay bubuo<дата>-<время>.html

Ang mga may problemang file ay makikita sa file ng ulat, kung mayroon man.

Mataas na load sa server

Ang pangunahing problema na nararanasan mo kapag awtomatikong sinusuri ang isang site para sa mga virus ay ang pag-load sa server. Ang lahat ng mga antivirus ay kumikilos sa parehong paraan, sunud-sunod na pag-uuri sa lahat ng magagamit na mga file. At parang walang exception dito ang aibolit. Kinukuha lang nito ang lahat ng mga file at sinusuri ang mga ito nang paisa-isa. Tumalon ang load at maaaring tumagal ito ng mahabang panahon, na hindi katanggap-tanggap sa produksyon.

Ngunit ang aibolit ay may nakatutuwang pagkakataon (sa kondisyon na mayroon kang ganap na server o mga vd na may root access). Una, para sa isang aibolit, maaari kang lumikha ng isang listahan ng mga file na susuriin, at pagkatapos ay pakainin ang listahang ito. Pagkatapos ang aibolit ay pupunta lamang sa listahang ito.

Upang mabuo ang listahan, maaari mong gamitin ang anumang mga pamamaraan ng server. Nakuha ko itong bash script:

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN="website" AI_PATH="/root/ai" NGAYON=$(petsa +" %F-%k-%M-%S") # maaari kang gumawa ng pampublikong folder sa ilalim ng access ng password REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$ DOMAIN/ public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # I-scan lamang ang mga file na binago sa X araw # AI-BOLIT-DOUBLECHECK.php na na-hardcode ng may-akda ni aibolit upang --with-2check !!! hanapin ang $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -ctime -$SCAN_DAYS > " $AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -o -name "*.gif" -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai -bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

Dito makikita mo na sa pamamagitan ng find command kinokolekta namin ang lahat ng mga file na ginawa sa huling SCAN_DAYS, i-save ang mga ito sa AI-BOLIT-DOUBLECHECK.php list (sa kasamaang palad, imposibleng palitan ang pangalan ng list file sa oras ng paggamit), pagkatapos ay pinapakain namin ang listahang ito sa aibolite. Ang SCAN_DAYS ay maaaring katumbas ng isang araw. Kung maglalagay ka ng bash /root/ai/run.sh sa pang-araw-araw na cron, maaaring hindi masyadong malaki ang listahan ng mga file na susuriin. Sinabi ni Resp. ang pag-verify ay hindi magtatagal ng maraming oras at hindi maglo-load nang malaki sa server.

Kamakailan, sa isa sa aking mga proyekto, napansin ko ang isang pag-redirect sa isang mapagkukunan ng advertising ng third-party. Ito ay hindi tulad ng isang halatang hack ng site kapag ito ay ganap na huminto sa pagtatrabaho, ngunit nakatagong paraan pagnanakaw ng trapiko. Halimbawa, ang isang umaatake ay maaari lamang mag-redirect ng mga user gamit ang mga mobile device o gawing non-permanent ang script firing para hindi mapansin ng may-ari ng proyekto ang pagkawala ng audience. Magkagayunman, hindi ito napakahusay para sa iyong site, kapwa sa mga tuntunin ng mga bisitang hindi nakakarating sa tamang mga pahina, at maaaring magdulot ng mga problema sa bahagi ng mga search engine kung biglang mapupunta ang pag-redirect sa isang pinagmulan na may mga virus.

Tingnan natin ang isa ngayon kapaki-pakinabang na PHP AI Bolit script na nagbibigay-daan sa iyo na makahanap ng mga virus sa pagho-host upang maalis ang iba't-ibang malisyosong code. Ang solusyon ay ganap na libre at hindi mahirap gamitin.

Ang script na ito ay may 3 mga pagpipilian sa paglabas:

• AI Bolit para sa Windows - nagbibigay-daan sa iyong pag-aralan ang site nang lokal, pagkatapos i-download ito sa iyong computer.
• Ang klasikong opsyon para sa pagsuri sa pagho-host para sa mga virus (angkop din para sa Unix at Mac OS X).
• Bagong web scanner (ReScan.pro) - sinusuri ang mga pahina ng website online.

Ang huling pagpipilian, tulad ng naiintindihan mo, ay ang pinakasimpleng, gayunpaman, hindi ito direktang tumitingin sa mga file na matatagpuan sa pagho-host, ngunit pili lamang na ini-scan ang ilang mga web page. Ang gayong mababaw na pagsusuri ay hindi maaaring sabihin sa iyo ang tiyak na pinagmulan ng problema sa site, ngunit makakatulong ito sa iyo na mahanap ito.

Para sa ilang mga gumagamit, ang pinakapamilyar at simpleng bersyon ng AI ​​Bolit script para sa Windows ay tila ang pinakapamilyar. maraming tao ang nagtatrabaho sa OS na ito. Gayunpaman, irerekomenda ko pa rin ang pagsasagawa ng pagsusuri sa virus sa hosting. Walang kumplikado dito, at sasabihin ko sa lahat ang tungkol dito nang mas detalyado sa ibaba.

Ang prinsipyo ng pagpapatakbo at mga tampok ng AI Bolit

Upang magamit ang AI Bolit kailangan mong sundin ang mga hakbang na ito:

• I-download ang script mula sa website ng programa.
• I-unpack at i-upload ito sa hosting.
• Patakbuhin ang AI Bolit gaya ng ipinahiwatig sa dokumentasyon.
• Pagkatapos makumpleto ang pagsusuri, makukuha mo ang resulta ng pagsusuri sa site.
• Pagkatapos ay maaari mong ayusin ang mga problema sa iyong sarili o humingi ng tulong mula sa mga espesyalista.

Ang huling punto ay nagpapaliwanag kung bakit napakahusay at malakas php script Ang AI Bolit ay ipinamahagi nang walang bayad. Sa tingin ko, pagkatapos makahanap ng mga problema at mga virus sa pagho-host, maraming mga gumagamit ang bumaling sa mga developer para sa mga follow-up na serbisyo. Isang lohikal na diskarte. Siyanga pala, ang solusyon ay patented at may natatanging algorithm, at inirerekomenda/gamitin ito ng mga sikat na roo-hosting sa kanilang trabaho. Naalala ko noong minsang humingi ako ng tulong mula sa teknikal na suporta ng isang hosting provider tungkol sa mga problema sa isang site, kaya naglunsad sila ng hosting check para sa mga virus sa tulong ng AI Bolit. Pagkatapos ng insidenteng iyon, nalaman ko ang tungkol sa pagkakaroon ng solusyon na ito :)

Ang mga pangunahing bentahe at tampok ng AI Bolit:

• Maghanap iba't ibang uri malisyosong code: mga virus, shell, backdoors, pampublikong kahinaan sa mga script;
• libreng pamamahagi;
• paggamit ng isang espesyal na patented heuristic analysis;
• medyo madaling pag-install at pagsasaayos;
• up-to-date na database ng mga virus at malisyosong script;
• pagsuri sa pagho-host para sa mga virus para sa anumang mga site at CMS;
• gumana sa iba't ibang mga operating system: Windows, Unix, MacOS;
• mga rekomendasyon mula sa mga nangungunang kumpanya ng pagho-host.

Paano gamitin ang AI Bolt

1. Maaaring ma-download ang AI Bolit script sa pamamagitan ng pagsunod sa link na ito sa site kasama ang paglalarawan nito. Doon inirerekumenda na piliin ang unibersal na bersyon (!) Upang suriin ang pagho-host para sa mga virus. Pagkatapos nito, magsisimula ang awtomatikong pag-download ng ai-bolit.zip file.

2. Ang susunod na hakbang ay ang pag-unpack at pag-upload sa hosting. Upang gumana sa FTP ginagamit ko libreng programa FileZilla (mahusay na FTP client). Pagkatapos i-unzip ang ai-bolit.zip, makikita mo ang dokumentasyon sa pag-install sa loob ng readme.txt file. Maaari mong suriin ito kung gusto mo.

define("PASS", "?????????????????????");

At pumasok ka sa halip na mga simbolo ??? Kahulugan nito. I-save ang file.

4. Pagkatapos ay kopyahin ang buong nilalaman ng /ai-bolit/ folder sa iyong pagho-host sa root directory (halimbawa, para sa WP, dito matatagpuan ang wp-config).

5. Pagkatapos i-upload ang script sa server, kailangan mong ilunsad ang AI Bolit gamit ang link sa address bar ng iyong browser:

https://your_site_address/ai-bolit.php?p=your_password

Pagkaraan ng ilang sandali, makakatanggap ka ng ulat sa pag-scan ng virus sa hosting.

Sa halimbawang ito, tila nakakita ang tseke ng kahina-hinalang mobile redirect na matatagpuan sa haccess, ngunit ako mismo ang nagdagdag nito. Gayundin, ang mga third-party na code ay natagpuan sa ilang mga file ng template (wala sila sa screenshot, dahil nalinis ko na ang lahat).

6. Matapos makumpleto ng AI ​​Bolit scanner ang trabaho nito, kailangan mong tiyaking tanggalin ang lahat ng mga file nito mula sa FTP (na na-download mo sa ika-4 na hakbang) kasama ang ulat.

Sa wakas, nais kong tandaan na mayroon ang script 2 check mode: express at "paranoid". Sa unang kaso, ang mga js, php, html file at htaccess lamang ang sinusuri, at ang pangalawa ay nagpapahintulot sa iyo na patakbuhin ang AI Bolit nang buo. Upang gawin ito, sa ai-bolit.php settings file, itakda ang halaga ng 'scan_all_files' => 1 variable, o gumamit ng link na may karagdagang parameter upang patakbuhin ang script:

https://your_site_address/ai-bolit.php?p=your_password&full

Sinasabi ng dokumentasyon na bago mag-restart kailangan mong tanggalin ang AI-BOLIT-DOUBLECHECK.php, kahit na ako mismo ay walang ganoong file sa FTP. Sa readme.txt makakahanap ka rin ng impormasyon kung paano suriin ang isang naka-host na site para sa mga virus sa pamamagitan ng SSH. Ang algorithm ng mga aksyon ay magkatulad, ngunit pagkatapos makopya ang lahat ng mga file ng script sa FTP, patakbuhin ito gamit ang utos:

php ai-bolit.php

Bilang resulta, ang isang file ay awtomatikong malilikha AI-BOLIT-REPORT-<дата>-<время>.html na may mga resulta ng pagsusulit. Sa prinsipyo, walang kumplikado, ngunit maaari mong tingnan ang FAQ para sa karagdagang mga sagot sa mga tanong.

Sa pangkalahatan, pinamamahalaang kong suriin ang site para sa mga virus na may AI Bolit medyo madali - natagpuan ko ang problema at inalis ito sa loob ng 10 minuto. Ang scanner ay nai-download nang libre mula dito, pagkatapos ay kailangan mong i-configure at patakbuhin ang AI Bolit gamit ang isang espesyal na link sa browser, at pagkatapos ay tingnan ang mga resulta. Kung paano ayusin ang mga virus, backdoors at shell ay isang bahagyang naiibang tanong. Sa pinakasimpleng kaso (tulad ng sa akin na may redirect), alisin mo lang ang malisyosong code sa mga file. Kung hindi ka bihasa dito o masyadong kumplikado ang gawain, maaari kang humiling ng bayad na konsultasyon/serbisyo mula sa mga developer ng script. Makakatulong sila hindi lamang sa pag-alis ng virus sa pagho-host, ngunit pagbutihin din ang proteksyon nito.

Ang AI-Bolit ay isang advanced na libreng scanner para sa backdoors, hacker shell, virus at doorways. Nagagawa ng script na maghanap ng nakakahamak at kahina-hinalang code sa mga script, nakakakita ng mga link ng spam, nagpapakita ng bersyon ng CMS at mga setting na kritikal para sa seguridad ng server.

Ang pagiging epektibo ng scanner ay nakasalalay sa paggamit ng mga pattern at heuristics, kaysa sa karaniwang paghahanap ng hash.

Kasaysayan ng paglikha

Sa kasalukuyan, ang merkado para sa antivirus software para sa mga personal na computer lubhang binuo: mga kilalang solusyon mula sa Kaspersky, Dr.Web, McAfee, Norton, Avast at iba pa. Sa mga virus at malisyosong code scanner para sa mga website, ang mga bagay ay hindi masyadong malabo. Mga tagapangasiwa ng system at ang mga may-ari ng site, na nag-aalala tungkol sa problema ng paghahanap ng malisyosong code sa kanilang mga server, ay napipilitang gumamit ng mga self-written na script na naghahanap ng mga virus at shell gamit ang ilang partikular na mga fragment na nakolekta nang mas maaga. Ganun din ang ginawa ko. Nakolekta ang mga shell, virus, backdoors, redirect code mula sa mga site ng kliyente at unti-unting bumuo ng database ng mga malisyosong code signature. At para maging maginhawa itong gamitin, nagsulat ako ng maliit na script sa PHP.

Unti-unti, nakuha ng scanner ang kapaki-pakinabang na pag-andar, at sa wakas ay naging malinaw na maaari itong maging kapaki-pakinabang hindi lamang para sa akin.
Noong Abril 2012, inanunsyo ko ang AI-Bolit script sa ilang forum, at pagkalipas ng anim na buwan, naging pangunahing tool ito para sa paghahanap ng malisyosong code mula sa mga webmaster at hosting admin. Tulad ng para sa kabuuang istatistika, sa isang taon at kalahati ang script ay na-download ng higit sa 64 libong beses. At ang script ay nakatanggap ng isang sertipiko ng copyright sa Rospatent.

Mga Tampok ng Scanner

Ang pangunahing pagkakaiba sa pagitan ng AI-Bolit at kasalukuyang umiiral na mga virus at malisyosong code scanner sa server ay ang paggamit ng mga pattern bilang mga lagda ng virus. Ang paghahanap para sa malisyosong code ay nakabatay sa mga regular na expression, hindi mga hash o checksum, na ginagawang posible na matukoy kahit na binago at na-obfuscate na mga shell na ipinasok sa mga template o CMS script.

Maaaring gumana ang scanner sa quick scan mode (para lamang sa PHP-, HTML, JS-, htaccess-files), sa "expert" mode, ibukod ang mga direktoryo at file sa pamamagitan ng mask. Mayroon din itong malaking database ng mga CRC whitelist ng sikat na CMS, na makabuluhang binabawasan ang bilang ng maling positibo.

Sa kasalukuyan, ang database ng scanner ay naglalaman ng higit sa 700 mga lagda ng mga nakakahamak na script. Ang mga pirma ay mga regular na expression, na nagbibigay-daan sa iyong mahanap, halimbawa, ang mga nakatabing shell at backdoors na hindi mahanap ng LMD na may ClamAV, o kahit na ang mga desktop antivirus:

Ang database ng lagda ay regular na pinupunan ng mga bagong sample na natagpuan ng parehong mga espesyalista sa Revizium at mga gumagamit ng script, na ginagawang posible na panatilihing napapanahon ang scanner.

AI-Bolit Interface

Ang interface ng AI-Bolit ay napaka-simple. Ito ay isang PHP script na maaaring tumakbo command line sa pamamagitan ng PHP CLI o buksan sa browser na may URL http://website/ai-bolit.php?p=password.

Ang resulta ng script ay isang ulat na binubuo ng apat na seksyon:

1. Mga istatistika at pangkalahatang impormasyon tungkol sa script.
2. Pulang seksyon ng mga kritikal na tala na may listahan ng mga nakitang shell, virus at iba pang malisyosong code (o mga fragment na katulad ng malisyosong code).
3. Orange na seksyon ng babala (kahina-hinalang mga snippet ng code na kadalasang ginagamit sa mga tool sa pag-hack).
4. Asul na seksyon ng mga rekomendasyon (listahan ng mga direktoryo na bukas para sa pagsusulat, mga setting ng PHP, atbp.).

Sinusuri ng user ang natanggap na ulat sa pamamagitan ng pagtingin sa mga snippet, paghahanap at pag-alis ng mga nakakahamak na script at mga fragment ng code nang manu-mano gamit ang command-line na mga tool o program para sa paghahanap at pagpapalit ng mga string sa mga file.

Ang pangunahing problema na karaniwang kinakaharap ng isang developer ng virus scanner ay ang paghahanap ng gitna sa pagitan ng "paranoia" (sensitivity) ng scanner at ang bilang ng mga maling positibo. Kung ang mga nakapirming string lamang ang ginagamit upang maghanap ng malisyosong code, kung gayon ang kahusayan ng scanner ay magiging mababa, dahil ang mga na-obfuscate na fragment, code na may mga puwang at tab, at matalinong na-format na code ay hindi mahahanap. Kung maghahanap ka sa pamamagitan ng mga naiaangkop na pattern, malaki ang posibilidad ng mga maling positibo kapag ang mga garantisadong ligtas na script ay minarkahan bilang nakakahamak.

Sa AI-Bolit ako nagpasya itong problema gamit ang dalawang mode ng operasyon ("normal" / "eksperto") at mga white-list para sa kilalang CMS.

Ang hinaharap ng AI-Bolit

Kasama sa mga plano para sa pagbuo ng script ang isang malaking bilang ng mga kapaki-pakinabang na tampok at pagsasama sa iba pang mga solusyon sa anti-virus. Ang isa sa mga pangunahing punto ay ang pagsasama ng AI-Bolit sa mga base ng ClamAV at LMD. Kaya ang AI-BOLIT ay makakapaghanap din ng mga rootkit at shell sa pamamagitan ng mga checksum.

Ang pangalawang mahalagang bagay sa pila para sa pagpapatupad ay isang maginhawang interface para sa pagsusuri ng mga tabular na ulat na may paghahanap at nababaluktot na mga filter. Magiging posible na i-filter ang mga nahanap na file ayon sa mga extension, pagbukud-bukurin ayon sa laki, mga checksum, at iba pa.

Ang pangatlong punto ay ang pagpapatupad ng asynchronous scanning gamit ang AJAX, na malulutas ang problema ng pagsuri sa mga site na naka-host sa mahinang pagho-host, na may limitadong pagkonsumo ng CPU o oras ng pagtakbo ng script. Sa ngayon, malulutas lamang ito sa pamamagitan ng pag-scan ng kopya ng site nang lokal o sa isa pang mas malakas na server. At siyempre, patuloy na pag-update ng mga database ng lagda ng malware.

Sa wakas

Ang script code ay bukas, na naka-host sa GitHub, kaya kahit sino ay maaaring mag-ambag sa pagbuo ng proyektong ito. Ipadala ang iyong mga mungkahi at kagustuhan sa akin sa [email protected].

Mayroong sitwasyon ng problema - isang site na may mga virus.

Ngayon ay ipapakita ko kung paano madaling mahanap at masira ang virus na ito. Una sa lahat, kailangan mong i-download ang site sa locale - mas madaling suriin ang hanay ng mga file sa ganitong paraan.

Ang text na ito ay mula sa paglalarawan ng video, kaya medyo magulo at mapurol. Gayunpaman, ang natitirang bahagi ng aking mga isinulat)

Magda-download kami ng filezilla. Ida-download ko kaagad sa naka-install na lokal na server - Open Server - para mapatakbo ko ito nang lokal, kung kailangan ko ito.

Kung mayroon kang isang antivirus na naka-install na sumusuri ng mga file sa mabilisang, may pagkakataon na makakahanap ka ng mga virus sa ilang mga file habang nagda-download. Tumingin sa mga log ng aking antivirus.

Sa aking kaso my Seguridad ng Microsoft walang ipinakita - ang virus ay hindi alam sa kanya.

Upang maghanap, gagamit ako ng isang espesyal na antivirus - Aibolit. Site ng developer http://revisium.com/ai/
Pinapayuhan ko kayong pumunta at manood ng seminar. Nagda-download pa ang mga file, magtatagal. Mayroon na akong handa na lokal na kopya, nilaro ko ang antivirus na ito kahapon.

Kaya, para sa trabaho, kailangan pa rin namin ng php para sa mga bintana. I-download dito http://windows.php.net/download/ pinakabagong bersyon para sa mga bintana sa zip archive. Mag-unpack sa isang lugar na maginhawa para sa iyo.

OK. Tapos na ang paghahanda. Ngayon sa trabaho.

I-download ang archive gamit ang Aibolit.

May tatlong folder sa loob:

• ai-bolit - ang pinaka-ubod ng antivirus mismo
• known_files – mga bersyon ng anti-virus database file para sa iba't ibang engine
• Ang mga kasangkapan ay isang pantulong na utility.

Kaya, simulan natin ang paglilinis ng site mula sa mga virus

1. Kopyahin ang lahat ng mga file mula sa ai-bolit folder sa ugat ng site
2. Kung alam namin kung anong engine ang mayroon kami, pipiliin namin ang folder gamit ang aming CMS sa folder na known_files at i-upload ang lahat ng mga file sa root. Sa aking kaso, ang WordPress engine, pagkatapos ay gagamutin namin ang mga virus gamit ang mga database ng anti-virus para sa WordPress. Kung gusto mong suriin ang lahat, magagawa mo mga database ng anti-virus ibuhos mula sa lahat ng mga makina - baka makahanap siya ng higit pa)
3. Nakalimutan ko muli - kailangan mong tukuyin ang mode ng ekspertong operasyon sa mga setting ng Aibolit. Para dito text editor buksan ang ai-bolit.php file at hanapin ang line define('AI_EXPERT', 0); baguhin ang "0" sa "1" at iyon na - pinagana ang mode ng eksperto.
4. Ngayon - kailangan mong i-unpack ang aming zip archive c php sa ilang folder kung saan magiging maginhawang gamitin ito. Kailangan namin ng file - php.exe
5. Ngayon ay kailangan nating patakbuhin ang executable file ng ating antivirus. Upang gawin ito, i-double click ang ai-bolit.php. Mayroon na akong pagpipilian kung paano isasagawa ang script na ito.

Iminumungkahi kong panatilihin lamang ang folder ng mga pag-upload at ang iyong folder ng tema. Ang mga plugin ay mada-download, ang mga setting ay mananatili sa database - hindi sila tinatablan ng mga virus. Suriin ang paksa nang manu-mano para sa lahat ng mga file - sa kabutihang palad ay hindi marami sa kanila, kung ang site ay hindi na-typeset ng isang clumsy na taga-disenyo ng layout. At i-refill ang lahat ng iba pa sa makina. ito ang pinaka maaasahang paraan.

At ipinapaalala ko rin sa iyo na malamang na mayroon kang mga virus sa buong iyong hosting account (madalang na namamahala silang lumipat sa pagitan ng mga account ng iba't ibang mga gumagamit, kung ang hosting admin ay isang krivoruk.)

Kung sa ilang kadahilanan ay tinanggal ang Aibolit sa site, maaari mong palaging mag-download ng antivirus para sa site mula sa akin

Ang mga virus ay malungkot

PS: dalawang artikulo kung paano linisin ang mga nakita nang virus:

• Mas simple - Paano mag-alis ng virus mula sa isang site nang libre
• Para sa advanced -

Naghahanap ako sa Internet ng libreng "bayad" na tema para sa site. Sa kabutihang palad, mayroong sapat na mga naturang site. Totoo, kinokopya nila ang isa't isa =) Mula sa karanasan ng pagtatrabaho sa gayong mga template, alam ko na kung minsan kailangan mong magbayad nang buo para sa gayong freebie. Dahil ang mga napakasamang tao ay naglalagay ng lahat ng uri ng mga masasamang bagay sa gayong mga template, na maaaring magdulot ng napakalaking problema sa mga disenteng programmer. Naaalala ko na ang aking ESET antivirus ay naghahanap at nanunumpa sa base64. Ngayon hindi na rin siya nagmumura. Ang ibig kong sabihin ay kung susuriin mo ang isang antivirus, hindi ito makakatulong.

Bago ang Ai-Bolit, sinuri ko ang mga file sa Total Commander para sa mga nilalaman ng ilang mga salita, at depende sa kung ano ang nakita ko, sinuri ko ito at itinama. solusyon sa paghahanap. At natagpuan. Ito ay - AI-Bolit - isang natatanging libreng script para sa pag-detect ng mga virus, trojan, backdoors, aktibidad ng hacker sa pagho-host.

At kaya, kung ano ang magagawa ng script na ito:

• maghanap ng mga virus, lahat ng uri ng nakakahamak at hacker na script sa hosting: mga shell batay sa mga lagda, mga shell batay sa simpleng heuristics - lahat ng bagay na hindi mahanap ng mga ordinaryong antivirus.
• gumana sa lahat ng pinakasikat na cms nang walang pagbubukod, kabilang ang joomla, wordpress, drupal, bitrix...
• maghanap ng mga pag-redirect sa .htaccess sa mga nakakahamak na site
• hanapin ang sape/trustlink/linkfeed code sa .php files
• kilalanin ang mga pintuan
• ipakita ang mga direktoryo na bukas para sa pagsusulat
• maghanap ng mga hindi nakikitang link sa mga template

Bakit kailangan ang script na ito?

Maaaring i-hack ng isang may karanasang hacker ang halos anumang site. At ang iyong site ay maaaring walang pagbubukod. Bakit mapanganib ang isang site na na-hack? Ang pagkakaroon ng access sa site, maaaring gawin ng isang attacker ang sumusunod:

• "pagsamahin" ang iyong trapiko sa iyong mga proyekto
• i-download ang mga nilalaman ng server at database para sa pagbebenta sa mga third party
• baguhin ang contact o impormasyon sa pagbabayad sa site
• nagda-download ng personal na data ng mga user
• ay maglalagay ng mga pintuan na may mga link ng spam sa iyong site
• ay magpapasok ng mga virus, trojan o pagsasamantala sa mga pahina ng site, na makakahawa sa mga bisita
• ay magpapadala ng spam mula sa iyong server
• ay magbebenta ng access sa na-hack na site sa iba pang mga umaatake para sa kasunod na hindi awtorisadong pagtagos
• at iba pa... Nakakalungkot. Oo?

Binibigyang-daan ka ng Ai-Bolit na maka-detect ng maraming malware at kahina-hinalang pagbabago sa pagho-host nang nasa oras, na binabawasan ang panganib na ma-ban mga search engine para sa pagkalat ng mga virus at pagkakaroon ng mga pintuan. Nagbibigay-daan din ito sa iyo na malaman sa isang napapanahong paraan ang tungkol sa mga posibleng potensyal na pagtagas ng impormasyon at iba pang mga problema tungkol sa iyong site. MALAMIG!!!

Paano gamitin ang script

Mayroong isang napakalinaw na pagtuturo sa archive ng script. Bilang default, ang "doktor" ay nag-scan sa normal na mode na may pinakamababang bilang ng mga lagda at isang minimum na bilang ng mga maling positibo.

Mayroong dalawang opsyon sa pag-verify. Pareho silang inilarawan sa mga tagubilin. Ibibigay ko lamang ang una - pinasimple.

Opsyon sa paglunsad ng browser (hindi inirerekomenda dahil nagsasagawa lamang ito ng express scan)

• I-download ang archive na may script (tingnan ang mga nakalakip na file)
• Unzip.zip
• Baguhin ang password sa line define("PASS", "put_any_strong_password_here_8_symbols_min");
• I-enable ang "expert" mode sa line define("AI_EXPERT", 0); // palitan ang 0 ng 1
• kopyahin ang mga file mula sa /ai-bolit/ folder sa server sa root directory
• kopyahin mula sa folder na know_files ang mga file na tumutugma sa iyong mga cms
• buksan sa browser http://sitename.com/ai-bolit.php?p=My456Pass123 at hintayin ang ulat
• !!!pagkatapos ipakita ang ulat, tanggalin ang mga file mula sa aibolit at ang script mismo mula sa site!!!

Iyon lang. Pagkatapos, may lalabas na ulat sa harap mo at nananatili para sa iyo na sundin ang mga error at ayusin ang mga kahinaan.

Feedback

Napakabait na tao ng author. Laging sumasagot. Kung mayroon kang anumang mga nais o katanungan, mangyaring sumulat sa:
web: http://www.revision.com/ai/
e-mail: [email protected]
Skype: greg_zemskov