Новая версия сканера AI-BOLIT
- Обновление вирусных баз
- Обновление базы "белого" списка файлов (Bitrix, Wordpress, Joomla, Drupal)
- Версия для Windows портирована на PHP7
Ссылка на сканер: https://revisium.com/ai/
Полезные статьи по работе со сканером Ai-BOLIT:
- https://revisium.com/kb/ai-bolit-console-faq.html
- https://revisium.com/kb/ai-bolit-masterclass.html
- https://revisium.com/kb/scan_site_windows.html
Бонус-трек по безопасности сайтов:
https://habrahabr.ru/company/bitrix/blog/305704/ Почему взламывают даже защищенные CMS
http://www.cossa.ru/234/134334/ Взлом сайтов по вине сотрудников и подрядчиков
habr.ru/p/303956/ Обзор веб-сервисов для проверки сайтов на вирусы и взлом
https://revisium.com/ru/blog/top50k_alexa.html Исследование безопасности TOP 50 000 сайтов рейтинга Alexa
https://telegram.me/sitesecurity Канал "Безопасность сайтов" в Телеграмм
Скачать можно на странице https://revisium.com/ai/
Сканер протестирован в том числе на версии PHP7, прирост скорости сканирования - более чем в 3 раза. То есть используя PHP7 большой сайт на Битриксе можно проверить за 3-4 минуты. Обращаю внимание, что корректная работа на версии PHP 7.0.6 и более старших.
Изменения в версии 20160515
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка"
- добавлены файлы с расширением .php7 и .pht в список обязательных для сканирования
Бонус-треком анонс нашего нового веб-сканера REVIZORRO: https://rescan.pro - проверяет страницы на скрытые редиректы, недобросовестную рекламу, вирусы, дефейс и т.п. Является эффективным дополнением (не заменой) сканеру AI-BOLIT.
Несколько свежих статей:
* на хабре: Так ли безопасны «топовые» сайты: исследуем рейтинг Alexa
* на SEO News: Как потерять результаты поискового продвижения
Это поиск RCE уязвимости. Если при выполнении запроса в результирующей странице будет "17I530VAu4", значит код успешно выполнился и уязвимость присутствует. И вместо безобидного echo "...." начнут засылать что-нибудь недоброе (эксплуатировать уязвимость).
Проверьте сервисом http://rescan.pro, не обнаружит ничего подозрительного?
Сканер ищет вредоносные скрипты в файлах сайта, который размещен на хостинге. Поэтому (чтобы его не путали с веб-сканером страниц сайта) мы используем термин "сканер для хостинга". Это не значит, что он предназначен только для хостеров. За 5 лет существования и развития им уже кто только не пользовался: владельцы сайтов, веб-мастера, администраторы хостингов, веб-разработчики.
Запускать сканер можно на хостинге по SSH (рекомендуется) или через веб (не рекомендуется), можно запускать на своем компьютере под Windows (есть отдельная версия под Windows на сайте https://revisium.com/ai/), можно запускать его на Mac OS, можно на *nix ОС - то есть везде, где можно установить или уже установлен интерпретатор PHP 5.3 и старше (Denwer или какие-то веб-сервера не нужны).
Частота проверки зависит только от степени вашей подозрительности и желания оперативно выявить проблему. Можете запускать каждый день, можете раз в месяц. Выше вам ответили по этому вопросу.---------- Добавлено 09.03.2016 в 22:57 ----------
Все верно. Именно из-за php_strip_whitespace. Две версии хранить не стали. Неопытные веб-мастера пользуются версией для Windows, там уже все настроено за них, а опытные - смогут запустить. Кроме того, опция начиная с 5.5 включена по умолчанию в php.ini, так что это скорее подстраховка. Даже если и выключена, то просто будет больше ложных срабатываний, сканер от этого хуже работать не будет.
Новая версия сканера AI-BOLIT 20160227
1. Новый алгоритм работы с белым списком скриптов (то, что раньше было aknown файлами). Теперь используется один общий файл с базой данных всех известных скриптов из CMS AIBOLIT-WHITELIST.db. Для снижения числа ложных срабатываний его достаточно положить рядом с ai-bolit.php и запустить сканер командой:
php -d short_open_tag=on ai-bolit.php .... (на случай отключенной опции short_open_tag).
Можно запускать и просто php ai-bolit.php ..., но в этом случае нужно убедиться, что опция short_open_tag в консольной версии PHP (php.ini) файле включена.
Скрипты из популярных CMS и плагинов уже добавлены в базу AI-BOLIT-WHITELIST.db. Сейчас в ней содержится в общей сложности более 350000 различных скриптов. База постоянно пополняется и будет включена в каждый апдейт сканера. Если каких-то плагинов или CMS в базе нет, и у вас для них возникают ложные срабатывания, вы можете прислать ссылку на дистрибутив для загрузки и мы добавим эти скрипты в базу.
2. База вредоносных скриптов дополнена новыми шеллами, бэкдорами, спам-рассыльщиками и другим вредоносным кодом. Также дополнена база уязвимых скриптов.
3. Исправлены ошибки конвертации файлов из кодировки UTF-16, исправлены пути в параметре addprefix/noprefix, изменены параметры memory_limit, а также реализован ряд других улучшений.
4. Для партнеров, работающих с коммерческой версией сканера, выпускаются более частые обновления сканера и работает отдельный канал в Telegram с апдейтами.
5. Сканер интегрирован в панель управления хостингом INFOBOX. Клиенты хостинга INFOBOX могут регулярно проверять свои сайты на вирусы и взлом прямо из панели, и отправлять нам отчеты на бесплатную диагностику (также как это делают клиенты хостингов Beget, Hostland, iHead и других).
Бонус-треком идут ссылки на полезные материалы по безопасности:
https://revisium.com/ru/bulletin/ - наши бюллетени заражений сайтов (информация о вредоносных скриптах, которые находятся на взломанных сайтах с описанием их функциональности и расшифровкой исходного кода)
https://revisium.com/ru/blog/browser_infected.html - заражение сайта через инцифированный плагин браузера
https://revisium.com/kb/hacked_again.html - почему сайты взламывают повторно
https://revisium.com/ru/blog/cryptolocker.html - новый шифровальщик для сайтов
- добавлены сигнатуры вирусов, фишинговых страниц и вредоносных скриптов
- пополнена коллекция скриптов с критическими уязвимостями
- новый формат текстовой версии отчета
- улучшена работа скрипта vps_docroot.php для сканирования сайтов на VPS
- исправлено несколько ошибок в формировании отчета
Скачать новую версию по ссылке https://revisium.com/ai/
Ссылки на инструкцию по сканеру
https://revisium.com/kb/ai-bolit-console-faq.html
https://revisium.com/kb/ai-bolit-masterclass.html
+ бонусом наши статьи по безопасности и защите сайтов:
"Откуда берутся японские дорвеи"
https://revisium.com/ru/blog/japanese_doorways.html
"AI-BOLIT для хостинг-компаний"
https://revisium.com/ru/blog/ai-bolit-for-hosters.html
"Анализ критической уязвимости в Joomla"
https://revisium.com/ru/blog/joomla_rce_all_versions_affected.html
"Изнанка взлома: что скрывается внутри взломанного сайта"
https://revisium.com/kb/the_other_side_joomla.html
"Как взламывают большинство сайтов"
https://revisium.com/ru/blog/common_website_hacking.html
"Поиск проблем и вирусов на сайте с помощью утилиты strace"
https://revisium.com/kb/meeting_strace.html
"Зачем взламывают низкопосещаемые сайты"
https://revisium.com/kb/small_websites_getting_hacked2.html
Постепенно добавим все недостающие разделы на страницу AI-BOLIT. Остальные разделы сайта не изменились.---------- Добавлено 18.11.2015 в 23:08 ----------Новая версия сканера AI-BOLIT
Релиз посвящен юбилейной 150 000 загрузке сканера.
Мы обновили дизайн страницы сканера, базу сигнатур, структуру отчета. Больше вредоносов, меньше ложных срабатываний. Доступны версии для Windows, для Mac OS X и Unix (стандартная версия для хостинга).
https://revisium.com/ai/
Несколько наших свежих публикаций по теме безопасности сайтов:
- Зачем хакерам взламывать сайты с посещаемостью 10 человек в сутки: https://revisium.com/kb/small_websites_getting_hacked2.html
- Как и почему вирусы влияют на скорость загрузки сайта
https://revisium.com/kb/slow_website_loading.html
- Как хакеры находят жертв при нецелевом взломе
Новая версия сканера AI-BOLIT:
- добавлен контроль целостности файловой системы
- новые сигнатуры в базе вредоносов
- aknown файлы для новых Joomla/Wordpress
- уменьшено число ложных срабатываний
- слегка изменен интерфейс отчета
- интеграция сканера в панели нескольких хостинг-компаний
- версия сканера для Windows (готовый архив с php и всем необходимым для Win32 и Win64 платформ).
Подробное описание новой версии, а также заметку про то, что такое контроль целостности и зачем он нужен, читайте у нас в блоге: https://revisium.com/ru/blog/ai_20151008.html
Скачать новую версию сканера можно по старому адресу
---
В качестве бонус-трека сегодня список свежих статей по безопасности:
- Мастер-класс по работе со сканером AI-BOLIT
- Шаблонное мышление - слабые пароли
- Причины появления вирусов на сайте
- Почему сканеры вредоносного кода не ищут все возможные вирусы
Сканировать дамп базы AI-BOLIT'ом - не совсем правильно. Можно, но малоэффективно. Анализировать дамп нужно другим образом. Но если очень нужно, то есть у сканера параметр
ai-bolit.php --memory=512M
можете добавить в .bat файл, все будет.---------- Добавлено 29.09.2015 в 15:17 ----------
md5 не будет, будет другой.
Пока можете просто не использовать .aknown и сканировать в параноидальном. Судя по постановке вопроса, вы достаточно опытный в том, чтобы отличить ложные срабатывания от неложных. Именно для этого и используются .aknown файлы.
