Сканер AI-BOLIT. Новый. Улучшенный.

С каждым релизом сканера вирусов и вредоносных скриптов AI-BOLIT мы стараемся его максимально улучшить.

Что появилось нового в AI-BOLIT за последние пару релизов:

  • Продвинутый поиск вирусов и хакерских скриптов

    Мы работаем с зараженными сайтами и регулярно обнаруживаем новые образцы вредоносного кода, поэтому в каждой новой версии AI-BOLIT включено несколько десятков новых вирусных сигнатур. Каждая сигнатура – это не фиксированная строка, а шаблон, позволяющий найти целое семейство хакерских скриптов и вирусных фрагментов. Таким образом добавление в AI-BOLIT десятка сигнатур увеличивает число определяемых зараженных скриптов в сотни раз.

    В настоящее время хакеры стараются максимально скрыть присутствие своих скриптов на взломанном сайте, для этого используются различные методы шифрования, обфускации, полиморфные фрагменты, техники косвенных вызовов, подгрузка кода из внешних источников данных и т.п. Поэтому задача сканера, научиться распознавать и такие сложные случаи, так как их сейчас подавляющее большинство.

    Многие опытные вебмастера и системные администраторы пользуются своими наработками, выполняя поиск по базе фрагментов «вредоносов». Это хорошо работало раньше, когда код скриптов был открыт и неизменен. Сейчас поиск по фиксированным фрагментам работает плохо. Перед тем как обнаружить фрагмент, нужно выполнить “нормализацию” файла:

    1. перекодировать из UTF-8/UTF-16 в ISO формат
    2. расшифровать его
    3. удалить квантификатор @, переводы строк, пробельные символы и т.п.
    4. использовать вирусное правило (шаблон), по которому обнаружить код
    5. проверить дополнительные критерии (время создания, атрибуты)
    6. и пр.

    Все это сделать простым поиском с помощью юниксовских find/grep или самописным скриптом на питоне проблематично. Но только с помощью предварительного преобразования, которое выполняется в нашем сканере, можно достоверно определять современные вредоносные скрипты.

    хакерский бэкдор

    хакерский бэкдор

    хакерский бэкдор

    хакерский бэкдор

    Если ваш скрипт умеет обнаруживать подобные фрагменты, у вас очень хороший скрипт. Но скорее всего этого он сделать не сможет, так как код хакерского скрипта меняется от копии к копии (смотрите пример на первом скриншоте), и обычным поиском по фрагментам найти его не удастся.

    Текущая версия сканера их легко обнаруживает.

  • Карантин

    Мы понимаем, что для лечения сайта не достаточно просканировать сайт на вредоносные и хакерские скрипты и по отчету удалить все “красные файлы”. Необходимо разобраться, где в отчете хакерские вставки, где шеллы, а где – так называемое “ложное срабатывание”. Мы бесплатно консультируем веб-мастеров, если они присылают нам отчет на ai@revisium.com в .zip архиве.

    карантин AI-BOLIT'а

    карантин AI-BOLIT'а

    Но иногда возникает необходимость более детально изучить некоторые вредоносные скрипты, так как в отчете приведен только небольшой фрагмент, из которого не всегда очевидна опасность кода. Поэтому мы реализовали специальный механизм архивирования всех “красных файлов” из отчета (вирусных или потенциально опасных), а также информацию о дате и времени их изменения, которую назвали “Карантин”. Архив с карантинными файлами запаролен. Его можно безопасно переслать нам на ai@revisium.com для анализа.

    Чтобы при проверке сайта автоматически создавался архив с подозрительными файлами, запустите айболит с параметром

    php ai-bolit.php --quarantine  

    По окончании сканирования будет создан файл AI-QUARANTINE-<число>.zip. Его можно передать специалисту.

    Внимание! Не оставляйте файл на сервере и не выкладывайте на форумах, так как в этом файле может содержаться конфиденциальная информация (например, если заражен файл wp-config.php или configuration.php, в котором есть логин и пароль от базы данных сайта, то он также попадет в архив).

  • Ускорение

    Наши программисты проделали большое исследование по повышению производительности сканирования файлов на PHP и использованием регулярных выражений. Мы сделали несколько прототипов с различным типом сигнатур и выбрали наиболее оптимальный вариант. С уверенностью можем сказать, что для текущего функционала сканера это максимум, что можно “выжать” из PHP.

    Кроме того мы обнаружили, что в PHP под ОС Windows существует ошибка в функции istrpos(), которая в разы замедляет работу сканера. Мы переделали механизм сканирования констант, что в целом положительно сказалось на скорости проверки сайта.

    Для тех, кто сканирует свои сайты массово, можно отключить прогресс-сканирования и выполнять проверку сайтов “в один проход”. Это будет еще быстрее. Для этого можно запустить сканер с опцией

    php ai-bolit.php --one-pass

    В AI-BOLIT’е теперь есть возможность проверки выборочных файлов и каталогов. Не секрет, что дольше всего проверяются изображения JPG,PNG,GIF и другие медиа-файлы. Для экспресс-проверки файлов сайта достаточно указать список исключаемых из сканирования расширений, эти файлы не будут проверяться. Строка запуска AI-BOLIT для экспресс-сканирования может выглядеть следующим образом:

    php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov
    Внимание! Данный вариант подходит только для экспресс-проверки файлов, но для лечения сайта необходимо проверять все медиа-форматы, так как в них также могут быть вирусы и хакерские скрипты.

  • Новый прогресс сканирования

    Вместе с прогнозом окончания сканирования мы добавили отображения прогресса сканирования в виде %.

  • Новые сниппеты

    Исправлена ошибка, которая не отображался сниппеты для двоичных файлов (“зараженные” медиа-файлы, и т.п.) Сейчас все непечатные символы будут отображаться в виде точек. Также раньше в статистике показывалось и число каталогов, что могло сбивать статистику, сейчас в прогрессе сканирования отображаются только файлы.

Примеры работы со сканером в режиме командной строки можно посмотреть в статье «Как работать со сканером AI-BOLIT из командной строки».

Мы прислушиваемся к мнению пользователей и будем рады получить от вас новые пожелания, комментарии по текущей версии и предложения. Образцы вредоносных скриптов, которые не определяются сканером в режиме “параноидальный”, пожалуйста, присылайте нам на ai@revisium.com.

Также обращаем внимание на то, что код сканера AI-BOLIT размещен на git. Если у вас есть желание поучаствовать в жизни данного проекта, вы можете предложить новую фичу или багфикс, мы его заинтегрируем в следующих релизах.

Скачать новую версию сканера можно по адресу http://revisium.com/ai/

Если ваш сайт взломали, обратитесь к нашим специалистам, мы поможем.

Наши услуги ИБ

Акция «3 по цене 1»
Подключите до 3х сайтов к услуге "Сайт под наблюдением" всего за 7500 2500 / мес. Скидка 66% только до конца года.
Акция действует только до 31 декабря 2017 года.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй и третий на том же аккаунте подключаются бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.