Скрипт поиска вредоносного ПО на хостинге
 

Написал небольшой скрипт, который позволяет искать шеллы по сигнатурам (более 40), а также дорвеи, несанкционированные редиректы через .htaccess, код продажи ссылок sape/trustlink/******** (возможно, не ваш) , отображает список каталогов, открытых на запись и всякую другую полезную мелочевку.

Пользуюсь сам для вычищения зла с сайтов клиентов и своих собственных. Скрипт постоянно обновляется. Велкам!

Скачать со страницы: http://revisium.com/ai/

Если скрипт понравится, буду благодарен, если вы расскажете о скрипте знакомым или друзьям.

Спасибо.

З.Ы.

Если найдутся шеллы или дорвеи, которые не определились скриптом, пожалуйста, пришлите их. Я добавлю в базу. Конструктивная критика всячески приветствуется.

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание

Спасибо за скрипт.

Предлагаю добавить в отчет "Скрипт использует код, которые часто используются во вредоносных скриптах" найденную сигнатуру, чтобы можно было бегло оценить степень опасности без просмотра кода модуля.

Также не помешала бы shell версия для непосредственного запуска с сервера - сканирование может продолжаться дольше максимально разрешенного времени.

Да, версия для запуска из консоли в планах.
Спасибо

Я так понял, нужно залить скрипт корень сайта и набрать в браузере http://site.ru/ai-bolit.php ?
У меня сначала страница не грузится, а потом просто пустая.

Добавлено через 14 минут
На одном хостинге запустилось, на втором - нет.

К сожалению, без логов или FTP доступа подсказать причину не смогу.

Добавлено через 12 часов 59 минут
Скрипт в полный рост обсуждается на searchengines.ru

http://forum.searchengines.ru/showthread.php?p=10263575

Обновилась версия скрипта. Новый UI, новые сигнатуры.

http://revisium.com/ai/

Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?

Новая версия 20120422:

- добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт)
- при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
- красивый размер файлов
- затраченное время на сканирование
- ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)
- новые сигнатуры JS

Качать здесь: http://revisium.com/ai/

Добавлено через 35 секунд
Не планируется.

Спасибо. Только на днях в вебмастере появилось сообщение о дорвее на моем старом сайте. Сам его найти не смог :( Попробую.

- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв. Теперь кол-во детектируемого зла вырастет в разы.
- три новых сигнатуры JS вируса
- три сигнатуры шелла
- добавлена проверка .phtml и .shtml по-умолчанию
- исправлена ошибка отображения файлов с невидимыми ссылками

Рекомендую скачать и проверить ваши сайты.
http://revisium.com/ai/

К сожалению у меня не работает. Выводит вот таку хрень: Fatal error: Call to undefined function: stripos() in /*******************/ai-bolit.php on line 877
Посмотрел обсуждения на серче, я оказывается не единственный с подобной проблемой. Вы советуете в данной ситуации менять хостинг., да он у меня как бы серьёзный: nic.ru

Спасибо за скрипт, очень кстати.
Как раз ломанули все сайты на хостинге.
Нашел много "интересного": шеллы, дорвеи ...
Буду пробовать все зачистить.
мда.. надо чаще обновлять Wordpress

Достаточно обновить версию PHP. У нас она немного старомодная. В 5.3 появилась эта функция.

Изменения в версии 20120613

- добавлены 6 сигнатур шеллов
- добавлены 3 сигнатуры JS вирусов
- добавил вызов set_time_limit(0) в скрипт
- исправлена работа с расширениями для php
- учитывается .phtml при проверке на сигнатуры, добавлено расширение .khtml
- добавлено детектирование auto_append_file/auto_prepend_file в .htaccess
- вывод списка найденных невидимых ссылок
- добавил определение stripos, если ее нет в PHP
- исправлено несколько мелочей

Качаем http://revisium.com/ai/.

Рекомендую проверять хостинг в режиме "все файлы" хотя бы раз в месяц. В качестве бонуса вот еще статейку написал: http://www.revisium.com/kb/protect_advice.html

Спасибо, будем тестировать, т.к. недавно пришлось вручную около 20 сайтов перебрать и вычистить.

спасибо, воспользуюсь
а то всякая гадость поналезла через дыры в джумле - замучился уже отлавливать

Выпустил новую версию AI-BOLIT.

Изменение в версии 20120902

- обновлена база сигнатур
- часть директорий можно исключить из сканирования, добавив их в .adirignore файл (поддерживаются фрагменты и метасимволы регулярных выражений)
- улучшен алгоритм поиска подозрительных файлов с сигнатурами <?php и <%
- добавлена возможность запуска полного сканирования из браузера через аргумент "&full"
- добавлен поиск исполняемых файлов linux в сканируемых папках

Рекомендую скачать и проверить ваши сайты.
http://revisium.com/ai/

у меня вылетает 500 error

провел все рекомендации, но скрипт так и не заработал.
удаляю...

через SSH все прекрасно запускается и работает

Новый релиз AI-BOLIT. Самое заметное в этом обновлении - это большое количество новых сигнатур шеллов, вирусов и другого вредоносного ПО, которое я находил за последний месяц у клиентов (теперь в базе кроме шеллов еще irc боты, спам-рассыльщики и другая зараза).

Изменение в версии 20121014

- новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
- игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
- добавился блок показа конфигурации PHP при запуске из браузера и что надо "подкрутить"
- реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli (решает проблему с памятью)
- улучшена обработка внешних include и iframe вставок
- новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
- улучшенное отображение прогресса сканирования в командной строке
- добавлен режим отладки скрипта DEBUG_MODE

Очень рекомендую скачать обновление и проверить свой сервер.

http://revisium.com/ai/

Если обнаружите проблемы со скриптом, пишите в личку.

у меня вылетает ошибка 502 , пробовала два раза
как быть?

учиться читать
http://revisium.com/ai/faq.php

Новая версия AI-BOLIT. Изменение в версии 20121106:

- новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
- автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
- поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
- исправлен Warning с ereg()

Качать отсюда: http://revisium.com/ai/

Рекомендую перепроверить ваши сайты новой версией AI-BOLIT с запуском из командной строки (через SSH).

Пользуясь случаем - анонсирую новый сервис для проверки серверного мобильного редиректа: http://zorrobot.ru/tool/ (сервис будет по мере возможности расширяться, и еще, наверное, проверять вирусы и т.п.)

О, спасибо. А штука-то достаточно умная оказалась. Спокойно отличила редирект с www и работает быстро.

В принципе, в качестве небольшой идеи:
Можно определить редирект в META, наличие на странице Iframe и Javascript (для начала, можно просто само наличие). Это просто.

Плюс, вирусы можно смотреть по Касперскому, Яндексу и Гуглу... насколько помню. :) Но это уже в раздел пожеланий.

Очередной мегарелиз AI-BOLIT.

Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)
- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)
- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)
- много новых и свежих сигнатур шеллов, вирусов и дорвеев
- исправлена ошибка поиска невидимых ссылок
- отображение в отчете найденных символических ссылок
- отображение в консоли статистики по найденным проблемам

Качаем тут http://revisium.com/ai/ и проверяем свои сайты.

Пожалуйста подскажите где эту консоль найти чтоб я там хоть что-то смог запустить.

Новое в версии 20130122

- новые сигнатуры, добавлено несколько исключений из ложных срабатываний
- новые доверенные файлы от cms: .aknown.* (+instantcms, invision power board)
- ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память)
- исправлена ошибка с подсчетом кол-ва сканируемых файлов
- разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js
- отображается список скрытых файлов (начинающихся с "точки")

Качаем здесь: http://revisium.com/ai/

Добавлено через 58 секунд
Запросите доступ по ssh в тех поддержке хостинга, скачайте WinSCP5 и Putty, и пользуйтесь.

вы бы еще написали пошаговый поиск, как в битриксе, с возможностью выставления задержки, чтобы из пхп не вылетал - вообще цены бы небыло

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание

Ага. Именно поэтому (вебмастера попадаются МАХРОВЫЕ идиоты) я запускаю скрипт только сам у себя на хостинге, и не даю этого делать идиотам. :))))

и переименовать :)

Изменения в версии 20130201

- новые сигнатуры
- файл отчета запрещен к индексированию
- в имени файла отчета добавляется случайное число для защиты от подбора имени
- добавлен .aknown файл для Wordpress 3.5.1

http://revisium.com/ai/

Погонял софтинку на нескольких заведомо зараженных экспериментальных сайтах.
Резюме.
1. Файлики вредоносные нашла все.
2. Все зараженные php-шки обозначила и идентифицировала верно.
3. О-о-очень избыточный отчет.

У меня на 10 файлов, подлежащих удалению и 4 файлов для лечения выдала несколько тысяч строк о подозрительных ситуациях. Так что для анализа отчета и поиска в нем того, что действительно стоит внимания требуется неплохая квалификация программера-админа и достаточно много времени.

Нельзя сказать, что это были ложные срабатывания: программка честно нашла косяки программистов, устаревшие конструкции кода, оставленные закоментированные отладочные куски и все пометила, как подозрительное. Действительно подозрительно, действительно стоит обратить на это внимание лентяя-разработчика, но к заражению очевидно большинство косяков не могло относится.

Ну очевидно, что
#phpinfo();
это - не вирус.

К чему это я все пишу: опция поиска "подозрительных" участков нужна. Но нужет так же режим поиска только заведомых вирусов, без анализа подозрений, иначе повторюсь, просто глаза замылятся при чтении отчета и пропустишь нужную строку.

Так что программе нужен еще один ключ: "Искать только по сигнатурам".

опасался ставить что то подобное, но думаю стоить проверить, особенно те сайты что на dle и других системах. так как ставят обычно нуленки с шеллами.

Добавлено через 10 часов 24 минуты
а что за косяк у скрипта, я ставлю хороший пароль, запускаю скрипт, он мне пишет

Вы установили слабый пароль на скрипт AI-BOLIT. Укажите пароль не менее 8 символов, содержащий латинские буквы в верхнем и нижнем регистре, а также цифры. Например, такой ********

я копирую этот паролик, меняю там пару букв и он все равно пишет типа слабый паролик, че за бред )

поставил щас вообще длинный и не проканало, не один паролик не принимает )

Он вам предложил случайный пароль, который соответствует всем правилами безопасности. Используйте его, ничего не надо в нем менять.

Новая версия AI-BOLIT (кроме шуток)

Изменения в версии 20130401:

- Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме)
- Новые сигнатуры вирусов и шеллов
- Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад)
- Двухязыковый интерфейс (русский, английский)
- Добавлены файлы aknown для Joomla 2.5.9
- Добавлены файлы в .aignore и адреса в .aurlignore
- Много всяких мелких улучшений в алгоритмах определения вредоносного кода

Качаем здесь http://revisium.com/ai/

Новая версия скрипта AI-BOLIT

Изменения в версии 20130519

- Добавлены новые сигнатуры вирусов и шеллов
- Детектирование двойных расширений .php.<что-то>
- Добавлен аргумент -j (--file) для сканирования конкретного файла
- Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8
- Разные мелкие исправления

Качаем здесь: http://revisium.com/ai/

Новая версия скрипта AI-BOLIT 20130609:

- Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
- Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге.
- Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

Качаем здесь http://revisium.com/ai/

вот за это спасибо !