Хозяйкам на заметку:
Если вы регулярно проверяете большое количество сайтов на одном сервере и у вас огромное кол-во файлов, а выделено памяти на хостинге мало - сделайте себе testall.sh файл, в который положите вызовы
php ai-bolit.php --path=<директория сайта 1>
php ai-bolit.php --path=<директория сайта 2>
php ai-bolit.php --path=<директория сайта 3>
...
Один раз создаете файл и все. Потом просто его запускаете хоть по cron, хоть просто из консоли.
Туда же можно прописать аргумент -r, чтобы в нужное место отчеты складывал или на почту отсылал.
Изменения в версии 20120512
- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв :) Теперь кол-во детектируемого зла вырастет в разы.
- три новых сигнатуры JS вируса
- три сигнатуры шелла
- добавлена проверка .phtml и .shtml по-умолчанию
- исправлена ошибка отображения файлов с невидимыми ссылками
Рекомендую скачать и проверить ваши сайты.
http://revisium.com/ai/
Спасибо за участие всем, кто присылает сигнатуры и зараженные файлы. Присылайте еще. Да и всем остальным за моральную и иногда даже небольшую материальную поддержку спасибо.
Или, как написали выше, сравнивать с эталоном (из оригинального дистрибутива). Или обратиться к тем, кто сможет разобраться, вирус это или ложное срабатывание на фрагмент, который часто встречается в вирусах.
Через консоль. Вот FAQ: http://revisium.com/ai/faq.php пункт 11. Если не получается запустить из консоли (пути к PHP не находит или там еще какая-то проблема - лучше всего обратится прямо в саппорт хостинга, попросить написать командную строку на запуск скрипта)---------- Добавлено 01.05.2012 в 18:34 ----------
50% на 50%. Либо ложное, либо нет 😂
Лучше лишний раз проверить false positive, чем пропустить троян.
Изменения в версии 20120430
- новые сигнатуры вирусов и шеллов
- исправлена ошибка сканирования списка файлов
- исправлена ошибка подсчета файлов в каталоге для вычисления дорвеев
- корректная работа с русскими сообщениями при работе через веб и при запуске из командной строки
- выставляется принудительно кодировка utf-8
- добавлены сниппеты для javascript вирусов и некоторых видов редиректа в .htaccess
- немного улучшен дизайн отчета
- сообщение о найденных больших файлах выдается только при полном сканировании
Кстати, если есть волонтеры-дизайнеры, волонтер-программисты или волонтеры-тестеры - велкам! Есть работенка по скрипту.
Работа, естественно, за "спасибо" )
Новая версия 20120422:
- добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт)
- при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
- красивый размер файлов
- затраченное время на сканирование
- ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)
- новые сигнатуры JS
Качать здесь: http://revisium.com/ai/
Спасибо.---------- Добавлено 22.04.2012 в 19:06 ----------
Не будет красного и оранжевого цвета в отчете :) Все зелено-серое
Изменения в версии 20120418
- новые сигнатуры шеллов
- новые сигнатуры javascript вирусов
- добавлена проверка на стартовые сигнатуры PHP в не-php файлах. Например, когда встраивают PHP код в .htaccess.
- в предупреждениях показывается фрагмент кода и маркер найденной подозрительной последовательности
http://revisium.com/ai/---------- Добавлено 18.04.2012 в 09:10 ----------
Внес сигнатуру в свежую версию. Пожалуйста, присылайте вредоносное ПО почтой, не нужно выкладывать в паблик то, что другие могут заюзать.
Результаты печалят) Максимум 40-50 руб в сутки.---------- Добавлено 15.04.2012 в 07:16 ----------
Пробовал кухонную утварь у них, в нее вообще никто не кликает. Там от силы набегало 10 руб.
stripos - стандартная функция для работы со строками на PHP5. Если ее нет, тут уже ничего не поделать ) Я бы начал искать другой хостинг.---------- Добавлено 14.04.2012 в 10:14 ----------
Просто у вас много файлов и два пути решения подобной проблемы:
1. увеличить максимальное время исполнения через max_execution_time. Скажем, поставить 30 минут для эксперимента. Детали смотрите здесь http://www.php.net/manual/ru/info.configuration.php#ini.max-execution-time
2. запустить скрипт из под SSH и направить результат вывода в файл
php ai-bolit.php > result.html
Оба варианта рабочие. Второй предпочтительнее.---------- Добавлено 14.04.2012 в 10:15 ----------
См. выше. У вас тоже два варианта.
Оптимизировал обход папок и сканирование файлов. Ускорилось примерно в 7 раз. Базы сигнатур не изменились. Свежая версия как обычно на http://revisium.com/ai/.
Плюс отказался от scandir, вместо нее использую доступную opendir/readdir. Так что теперь скрипт будет работать на всех хостингах.
Много чего поменялось, поэтому, пишите в личку, если найдете какие-то ошибки.
