Новый релиз AI-BOLIT. Самое заметное в этом обновлении - это большое количество новых сигнатур шеллов, вирусов и другого вредоносного ПО, которое я находил за последний месяц у клиентов (теперь в базе кроме шеллов еще irc боты, спам-рассыльщики и другая зараза).

Изменение в версии 20121014

- новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
- игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
- добавился блок показа конфигурации PHP при запуске из браузера и что надо "подкрутить"
- реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli (решает проблему с памятью)
- улучшена обработка внешних include и iframe вставок
- новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
- улучшенное отображение прогресса сканирования в командной строке
- добавлен режим отладки скрипта DEBUG_MODE

Очень рекомендую скачать обновление и проверить свой сервер.

http://revisium.com/ai/

Если обнаружите проблемы со скриптом, пишите в личку.

у меня вылетает ошибка 502 , пробовала два раза
как быть?

учиться читать
http://revisium.com/ai/faq.php

Новая версия AI-BOLIT. Изменение в версии 20121106:

- новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
- автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
- поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
- исправлен Warning с ereg()

Качать отсюда: http://revisium.com/ai/

Рекомендую перепроверить ваши сайты новой версией AI-BOLIT с запуском из командной строки (через SSH).

Пользуясь случаем - анонсирую новый сервис для проверки серверного мобильного редиректа: http://zorrobot.ru/tool/ (сервис будет по мере возможности расширяться, и еще, наверное, проверять вирусы и т.п.)

О, спасибо. А штука-то достаточно умная оказалась. Спокойно отличила редирект с www и работает быстро.

В принципе, в качестве небольшой идеи:
Можно определить редирект в META, наличие на странице Iframe и Javascript (для начала, можно просто само наличие). Это просто.

Плюс, вирусы можно смотреть по Касперскому, Яндексу и Гуглу... насколько помню. :) Но это уже в раздел пожеланий.

Очередной мегарелиз AI-BOLIT.

Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)
- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)
- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)
- много новых и свежих сигнатур шеллов, вирусов и дорвеев
- исправлена ошибка поиска невидимых ссылок
- отображение в отчете найденных символических ссылок
- отображение в консоли статистики по найденным проблемам

Качаем тут http://revisium.com/ai/ и проверяем свои сайты.

Пожалуйста подскажите где эту консоль найти чтоб я там хоть что-то смог запустить.

Новое в версии 20130122

- новые сигнатуры, добавлено несколько исключений из ложных срабатываний
- новые доверенные файлы от cms: .aknown.* (+instantcms, invision power board)
- ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память)
- исправлена ошибка с подсчетом кол-ва сканируемых файлов
- разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js
- отображается список скрытых файлов (начинающихся с "точки")

Качаем здесь: http://revisium.com/ai/

Добавлено через 58 секунд
Запросите доступ по ssh в тех поддержке хостинга, скачайте WinSCP5 и Putty, и пользуйтесь.

вы бы еще написали пошаговый поиск, как в битриксе, с возможностью выставления задержки, чтобы из пхп не вылетал - вообще цены бы небыло

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание