Сканер AI-BOLIT для хостинг-компаний

В настоящий момент сканер AI-BOLIT является, пожалуй, самым эффективным сканером вредоносного кода для сайтов. Он использует большую базу вредоносных сигнатур, построенную на базе гибких паттернов (регулярных выражений) и эвристики, которая содержит самые свежие образцы вредоносного кода: хакерских шеллов, бэкдоров, вирусных фрагментов, фишинговых страниц, дорвеев и других видов вредоносных скриптов и сигнатуры спам-/рекламных страниц.

Есть два основных сценария применения сканера:

  1. оперативная проверка сайтов на взлом, вирусы и публичные уязвимости (обычный режим сканирования)
  2. детальная диагностика заражения и последующего лечения сайта по полученному отчету (режим сканирования “параноидальный”)

В отличие от повсеместно используемых ClamAv и Maldet, база вредоносных скриптов и число различных видов вредоносного кода в AI-BOLIT’е намного больше.  

Список возможностей сканера можно посмотреть в этой статье. Параметры запуска AI-BOLIT для различных сценариев приведены в этой , этой и этой заметке.

В данной статье хотелось бы заострить внимание на возможностях, которые полезны при запуске на стороне хостинга (из технической или биллинг-панели хостера).

Чтобы выполнить сканирование сайта, по большому счету, достаточно запустить процесс, указав скрипту сканирования путь для проверки и полное имя результирующего отчета. Отчет в сканере формируется в двух форматах:

  1. HTML страница, для которой можно использовать собственный дизайн.

    сканер вредоносного кода

  2. Текстовая версия, в которой будут перечислены вредоносные скрипты, сгруппированные по типам вредоносного кода и показано начало каждого обнаруженного фрагмента.

    сканер вредоносного кода

За счет аргументов командной строки, можно гибко настроить варианты сканирования и параметры запуска:

  1. указать режим проверки сайта (обычный, параноидальный)
  2. исключить из проверки отдельные расширения (например, исключить медиа-файлы)
  3. заменить пути к файлам в отчете, чтобы не отображать реальный путь до каталога, в котором выполнялось сканирование (для тех случаев, когда файлы сканируются на бэкап- или на отдельном сервере)
  4. указать команду, которая выполнится после завершения работы сканера
  5. установить ограничения на максимальный размер проверяемого файла и др.

Как показывает опыт предыдущих интеграций, сканер можно запускать не только на основном сервере, где размещаются актуальные версии сайтов, но и на бэкап-серверах, на специальном сервере или из Docker’а. А процедуру проверки запускать по расписанию (например, ежедневно ночью для всего сервера), по запросу клиента, с активацией через панель управления хостингом (кнопка “просканировать”) и пр.

Примеры того, как это реализовано у различных хостинг-компаний:

примеры интеграций сканера в панель хостинга

примеры интеграций сканера в панель хостинга

Кроме того, мы активно сотрудничаем с хостинг-компаниями: оказываем консультации по безопасности сайтов, выполняем диагностику, лечение серверов и сайтов клиентов, разрабатываем методические материалы по безопасности и защите сайтов от взлома.