Часто задаваемые вопросы пользователей сканера AI-Bolit. Как искать вирусы, как запускать сканер, что делать, если скрипт не работает и т.п.

Вернуться на страницу сканера.

0. На моем хостинге скрипт завершается через некоторое время с сообщением "Killed" ("Terminated") или работа скрипта прерывается без объяснения причин

На некоторых хостингах стоит ограничение на максимальный порог нагрузки CPU во время выполнения команд из командной строки. При превышении лимита процесс автоматически завершается ядром операционной системы. На таких хостингах, бывает, не работает даже gzip. Вывод - на вашем хостинге не получится проверить сайт в режиме командной строки.
Воспользуйтесь инструкцией для сканирования сайта локально.

1. После открытия скрипта в браузере отображается белая страница

Если через некоторое время скрипт выдает белую страницу, скорее всего означает, что у вас очень много файлов на хостинге и скрипт не успевает проверить их все в течение отведенного времени. Время определяется настройками PHP и веб-сервера, обычно отводится 30 секунд на то, чтобы скрипт завершил свою работу. В противном случае выдается либо белая страница, либо 504 Gateway Timeout, либо 502 Bad Gateway.

Возможные решения проблемы:

  1. Просканировать сайт локально, у себя на компьютере
  2. Увеличить max_execution_time в php.ini или (если позволяют настройки веб-сервера) в .htaccess. Например, поставить 30 минут, а не 30 секунд.
  3. Запустить скрипт не из браузера, а из командной строки. Для этого нужно иметь доступ к серверу через SSH.
    Для запуска наберите:

    php ai-bolit.php

    Если интерпретатор php у вас не прописан в пути, то нужно указать до него полный путь, например так

    /usr/bin/php ai-bolit.php

    В результате исполнения скрипта будет создан файл AI-BOLIT-REPORT-<дата>_<время>.html, который будет содержать результат работы скрипта. Этот файл можно открыть в любом браузере.

    Внимание! Если сделать php ai-bolit.php > result.html - вы не увидите процесса проверки, и в result.html не будет результата проверки. Результат всегда в AI-BOLIT-REPORT-<дата>_<время>.html.

Из двух вариантов второй является более предпочтительным, так как выполняет полную проверку на вредоносные скрипты.

Если скрипт сразу выдает белую страницу - смотрите error_log, в нем должна быть ошибка. Либо можете включить в .htaccess опцию error_reporting и посмотреть сообщение об ошибке прямо в браузере.

2. После запуска скрипта отображается 502 Bad Gateway или 504 Gateway Timeout

Смотрите ответ №1.

3. Может ли скрипт лечить сайт автоматически?

Ai-Bolit - это сканер вредоносного кода на сайте. Он не умеет лечить сайт, но зато лучше всех обнаруживает хакерские скрипты и вирусы.

4. Нужно ли обращать внимание на предупрежения, которые выдает скрипт?

В результатах работы важно смотреть не только на список найденных шеллов, но и на предупреждения. Они так же важны, как и блок критических замечаний, потому что в большинстве случаев скрипт не может принять 100% решение о том, что найденная последовательность - вредоносный код. Все предупреждения требуют дальнейшего внимания администратора сайта.

5. Почему скрипт не может на 100% определять все шеллы или дорвеи?

Скрипт содержит огромное количество сигнатур (фрагментов) шелл-скриптов и дорвеев, и ищет точное совпадение по ним. Но, к сожалению, постоянно появляются новые шеллы, а также модифицированные версии существующих и список сигнатур не может покрыть все множество хакерских инструментов. Поэтому в скрипте реализован эвристический алгоритм поиска подозрительного: ищутся подзрительные функции, а также зашифрованные последовательности. И, в случае обнаружения, пользователю выдается предупреждение. Далее ответственность администратора сайта - провести анализ и определить, действительно ли найденная последовательность является телом вредоностого скрипта. Несмотря на то, что могут быть и ложные срабатывания, лучше перестраховаться. То есть лучше обнаружить безопасный код и выдать предупреждение, чем пропустить вредоносный.

6. Как исключить некоторые каталоги из сканирования?

Создайте рядом с ai-bolit.php файл .adirignore (начинается с точки). Поместите в него фрагмент или полный путь до каталога, который надо игнорировать по одному фрагменту на строку. При запуске скрипта эти каталоги будут опущены. В конце отчета будут перечислены исключенные каталоги.

7. Неплохо было бы иметь возможность запускать скрипт по расписанию и результат высылать на почту

Есть такая возможность. Смотрите пункт 10.

8. Ваш скрипт оказался мне очень полезным, как я могу вас отблагодарить?

Как можно отблагодарить написано здесь.

9. Как узнать, что нового появилось в скрипте?

В архиве рядом с ai-bolit.php лежит changelog.txt. В нем написано, что нового появилось в каждой версии.

10. Как запустить скрипт из командной строки?

php ai-bolit.php - по-умолчанию
php ai-bolit.php --help - справка по аргументам командной строки
php ai-bolit.php -r myemail@website.ru - отправить отчет на email
php ai-bolit.php -r ./aibolit-report.html - сохранить отчет в файл

11. Как я могу использовать ваш скрипт или сигнатуры в коммерческих целях?

Скрипт бесплатный только для личного некоммерческого использования (частными вебмастерами для своих некоммерческих проектов). В случае, если вы планируете использовать сканер AI-BOLIT для оказания коммерческих услуг (лечение, диагностика на вирусы, мониторинг заражений), либо скрипт используется внутри компании на коммерческом сайте, вам необходимо приобрести лицензию на коммерческое использование. Напишите нам на audit@revisium.com.

Владелец лицензии получает нашу техническую поддержку по сканеру, возможность официально оказывать коммерческие услуги с применением сканера AI-BOLIT, доступ к приоритетным обновлениям, которые выходят несколько раз в месяц (стандартный период обновления - раз в 4-5 недель) и прямую ссылку на загрузку сканера для партнеров.

Данный скрипт и сигнатуры являются продуктом интеллектуального труда и являются объектом права интеллектуальной собственности, защищаемой авторским правом. Про авторское право (ГК РФ) и последствия его нарушения (УК РФ).

В случае приобретения лицензии вы автоматически становитесь партнером, размещаетесь как партнер на сайте в соответствующем разделе и рекламируетесь за счет этого все оставшееся время. Так что честным быть выгодно!

Продажа скрипта, использование фрагментов исходного кода и баз сигнатур без письменного согласия правообладателей запрещена.

В настоящий момент лицензию на коммерческое использование уже приобрели несколько десятков хостинг-компаний, веб-студий и фрилансеров для осуществления сканирования и лечения сайтов на коммерческой основе.

Получено авторское свидетельство на скрипт AI-BOLIT в РосПатенте.

Свидетельство из Роспатента

12. Как защитить сайт от вирусов?

Читайте статью по защите сайта от вирусов, шеллов и другого вредоносных скриптов.

13. В отчете выдает ошибку, что при запуске указан неправильный пароль

Проверьте, какая сборка PHP у вас установлена на хостинге. Может быть два варианта: php-cli или php-cgi. Вам нужна php-cli. Под php-cgi из командной строки работать не будет.

Проверить тип сборки php можно так:
php -v

14. У меня в консоли есть только сборка php-cgi. Как использовать скрипт AI-BOLIT?

Есть два варианта:

  1. попросить админов или саппорт хостинга собрать вам отдельный php-cli (или может быть он уже есть на хостинге, только надо спросить путь до интерпретатора)
  2. скачать с сайта php.net сборку php под windows, выгрузить свой сайт на локальный компьютер и проверить на нем

15. Я не могу (не хочу) разбираться в работе с командной строкой и UNIX'ом. Что делать?

Вы всегда можете обратиться к нам в "Ревизиум" для диагностики, лечения и защиты сайтов от взлома.

16. На хостинге скрипт не работает. Какие есть еще варианты проверить мой сайт?

Читайте статью, как проверить сайт на локальном компьютере

Вернуться на страницу скрипта

© 2015 «Ревизиум»