0 Пользователей и 1 Гость просматривают эту тему.
  • 110 Ответов
  • 63069 Просмотров
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Здравствуйте,

Я написал небольшой скрипт "Айболит", который умеет делать следующее:

  • искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики
  • искать редиректы в .htaccess на вредоносные сайты
  • искать код sape/trustlink/linkfeed в .php файлах
  • определять дорвеи
  • показывать директории, открытые на запись
  • искать пустые ссылки (невидимые ссылки) в шаблонах
  • отсылать отчет по email или сохранять в файл

Знает сигнатуры более 130 различных шеллов, позволяет добавлять некоторые файлы в игнор лист. Можно запускать по расписанию раз в неделю (настроить через крон) и получать на email отчет.

Скрипт использует уже более 3000 вебмастеров. Подробности на сайте http://revisium.com/ai/.
Справа наверху на сайте есть много форумов, на которых скрипт активно обсуждается. Являюсь партнером раздела "безопасность" на сайте поддержки vBulletin.

Надеюсь, скрипт поможет и вам. Пишите, если будут вопросы.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

al-teen

  • Глобальный модератор
  • 2385
  • 224 / 10
  • im
Здравствуйте. Какова база? Откуда она? Как часто обновляется?
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Здравствуйте,
про "какова база" - не знаю как вам ответить. База хороша :)
Больше 130 шеллов, несколько десятков подозрительных фрагментов php кода, сигнатуры вирусов. Все там.

Обновляется по мере поступления новых экземпляров (либо сам что-то новое нахожу, либо пользователи присылают). В среднем - раз в неделю.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

al-teen

  • Глобальный модератор
  • 2385
  • 224 / 10
  • im
Хорошая штука. Только для Joomla малость не катит. Можно использовать в качестве инструмента при разработке: отслеживать CHMOD на директориях. Ну, возможно попадется что то и вирусное. Хотя в общем количестве есть 90 шансов из ста не отличить опасность от стандартной конструкции Joomla. В J более 8ми тысяч файлов (в общем конечно же). Прозвонил Вашим Айболитом сейчас локалку с Joomla и парой компонентов. Пара сотен небезопасностей показал, которые таковыми не являются. Даже совсем не закрытую ссылку на Joomla.org посчитал скрытой, специально пошел проверил. Нашел ссылку в index.php одного шаблона - в файле вообще ссылок нет и не было.

С какого перепугу обычная функция редактора стала вредоносным скриптом?
JoomShopping судя по результатам анализа Айболита и вовсе ставить не следует.

Сыро.
« Последнее редактирование: 30.06.2012, 20:24:27 от al-teen »
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Вы не поняли идею :) Ai-bolit - это универсальный инструмент. Он не заточен под конкретную CMS'ку. Кроме 100% совпадения по сигнатурам, проверяются также и подозрительные конструкции (eval, base64_decode, iframe в .js и .php.) Скрипту абсолютно все равно, JoomShopping это или WSO Shell. Если есть сигнатура или кусок очень подозрительного кода - будет красным. Если просто подозрительного - будет оранжевым. А админ уже пусть анализирует.

Для того, чтобы не было ложного срабатывания делается файл .aignore, в него складываются все файлы, в которых вы уверены, с их контрольными суммами (в скрипте есть напротив каждого файла ссылка "Добавить", внизу появится текстовое поле с файлом и CRC).
Если захотеть, можно под свою версию Joomla такое сделать, тогда эти файлы не будут фигурировать в отчете. То есть не будет false positive.

Отображение ссылок - да, надо поправить. Это не основная плюшка, основная - поиск шеллов и JS вирусов.

Спасибо за тестирование.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Это хороший скрипт, только не везде работает.
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Уточните, что именно и где не работает? В скрипте используются функции из PHP5. Если на хостинге PHP4, может не работать. В ближайших апдейтах заменю их на аналоги в PHP4.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Не закидывайте камнями ТС скрипт рабочий просто не успеешь за всеми новинками взломщиков, а на счет того что показывает все подряд дак это универсальность его он не только для нашего движка, многие пользовались есть те кто ни чего не находил/понимал и есть те кто все прекрасно находили с его помощью, сам тестировал не скажу ему 100% но 90% из ста отрабатывает, еще надо понимать и разграничивать то что вирус на сайте покажет антивирусник, а на сайте не вирус - дело рук человеческое и в основном редирект/ссылки и все это закодировано или в регулярных выражениях и на каждом сайте свои и не повторяются на других, так что с молотка все рубить не получиться все равно руками и глазами увидел код и вырезал, конечно можно как антивирусник сделать просто файл удалить но тогда сайт по чему то перестает работать  ^-^ автоматически не получиться делать или придется базу создавать гигабайтную/тиробайтную там мегабайтами не обойтись, и к ней привязываться, что не гуд.
На счет базы в 130 это для не опытных пользователей хорошо, вообще хватает около 30 что б полностью все по полочкам разобрать и разложить.
Ну и shell finder script предназначается для поиска дверей а не в качестве антивирусника, дверь может быть зарыта в любом файле но уж на РНР не сделать код по другому из-за этого он покажет и на файлы системы, их просто надо просмотреть это кстати не 6000-8000 файлов просматривать.
Это не replacer что б замены делать ну и не остальные скрипты, "просто сканер", и требовать от сканера много не стоит.

Ps. ТС про ваш скрипт тут знают тестировали и пользуются

ИМХо а то что реклама тут, просто лето вот у вас и спад и многие разработчики сразу скачали и больше не качают как было в начале, а пользуются тем что есть
« Последнее редактирование: 30.06.2012, 23:28:40 от flyingspook »
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
На свебе (хостинг) отказался. Пхп 5. Походу лимиты ужатые сильно.

Скрипт отличный. Я только за него. Очень большой функционал.
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Спасибо за комментарии и поддержку. Хочу обратить внимание, что лучше использовать свежую версию скрипта. Я видел в нескольких темах приаттаченный скрипт месячной давности - это не очень хорошо, потому что сигнатуры постоянно пополняются, появляются новые возможности, и, пользуясь старой версией, можно многое упустить. На прошлой неделе, например, было добавлено 35 новых шеллов и детектирование редиректных ссылок. Поэтому рекомендую давать просто ссылку на страницу со скачиванием.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Стоит там ссылка. Прикрепленные файлы обновил.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
На прошлой неделе, например, было добавлено 35 новых шеллов и детектирование редиректных ссылок. Поэтому рекомендую давать просто ссылку на страницу со скачиванием.
а зачем это кто мне объяснит?
ТС в шеле всего 3-10 остальное для полностью не опытных пользователей кои находят более опытных которые им выполняют работу на счет
Цитировать
было добавлено 35 новых шеллов и детектирование редиректных ссылок
зачем в базу добавлять ссылки/редиректы не понимаю, вы js код тоже собираетесь добавлять у меня последний сайт 400 файлов js код в каждом разный если все к вам в запихать то скрипт будет только из них более 100кб не считая РНР  ^-^
а что за 35 новых шелов? расскажите нам об них!
их что за два месяца нашлепали или как?
может что упускаем?
давайте так у вас на сайте все расписано правильно?
вот там пусть и читают ваш рекламный бред на счет базы и прочего
извините, но просто нашим скриптом пользуются wishlight на той или этой недели если не ошибаюсь, да без разницы кто и когда, и мы не расписываем вообще что и когда делаем и меняем, и сколько тысяч его скачало, а ваш топик как рекламный, вы просто ищете работу

я не против того что вы создали топик, но прошу распишите по делу лучше как пользоваться и как искать и прочее, вы ж это не напишите ни когда, а просто будете рекламировать мол база большая пользуются/скачали миллионы (это все не по существу), нет желания расписывать тогда пишите так - произошло обновление и читайте (на сайте или ссылка) не рекламируйте скрипт/себя

Ps. кто в этом понимает то знает что все намного проще, а кто не понимает не хочет изучать тот и не поймет
*

al-teen

  • Глобальный модератор
  • 2385
  • 224 / 10
  • im
Мне больше непонятен момент с base64. Вообще то хочется видеть, что запускаешь. Или предлагаете выполнять телодвижения по проверке еще и Вашего скрипта? Если это и есть база, то какой смысл ее кодировать?
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Уважаемый flyingspook, я вот не пойму, с чего от вас внезапно столько негатива попрело. Либо вы не так поняли слово "шелл", либо не осознаете фактической угрозы. И уж тем более обвинять меня в том, что я их "наклепал" - это, извините, попахивает каким-то юношеским троллингом. Вы же модератор, представитель порядка. А ведете себя, как рядовой пользователь с кармой -100 :)

Так вот давайте я вам для начала разъясню что к чему. А потом мы снова подружимся :)

Шелл - это вредоносных скрипт, который загружает хакер на хостинг через различные дыры в CMS/скриптах и конфигурации сервера. Шелл скрипт обычно написан на php, но бывают и на asp, java, c. В помощью шелл-скрипта можно просматривать содержимое фаловой системы (файловый браузер), можно загружать файлы в каталоги, можно менять права на файлы, можно дампить базы данных в файл, подсаживать всякую заразу в в файлы и многое другое.То есть шелл - это вселенское зло, которое, появившись на хостинге, обычно, в виде .php файла, дает свободу действий злоумышленнику.

Шелл-скриптов в природе существует масса. Я думаю, порядка 200-250 разновидностей публичных и множество приватных, которыми пользуются мегапрофессиональные хакеры, которые не светятся и не палятся о своими наработками.

Основная задача моего скрипта - обнаружить вредоносный код на хостинге. В частности - шеллы, которые я нахожу на сайтах клиентов, на своих сайтах, которые мне присылают пользователи скрипта, и которые я нахожу на форумах типа antichat.ru. Сбор базы сигнатур шеллов, по которым можно детектировать такой скрипт - это работа не тривиальная, поскольку вот так вот чтобы пойти и найти все существующие шелл-скрипты в открытом доступе - такого нет. Это не JCE модуль для Joomla качать. А еще после того, как нашел надо понять, какой кусок из скрипта добавить в базу в качестве сигнатуры, чтобы однозначно его идентифицировать.

Когда вы говорите о каких-то 3-5 шеллах, я вообще не понимаю, о чем вы. На прошлой неделе я случайно наткнулся на архив из 130 разных скриптов. И недостающие добавил в базу. То, что у вас они не появлялись на сайте отнюдь не означает, что их вообще не существует.

Далее - по поводу добавления редиректных ссылок и сигнатур вирусов. Да, я собираюсь добавлять более или менее общие фрагменты javascript вирусов в базу. Если вы мне расскажете универсальный эвристический алгоритм определения тела вируса в файле, я с радостью его имплементирую и не буду использовать базу сигнатур. Но мне кажется, что такой алгоритм написать проблематично. Именно по этой причине в базе современных антивирусов сотни тысяч фрагментов вирусов. Да, они тоже добавляют каждое тело отдельно.

Здесь мне могут возразить, что, дескать, скрипты могут обфусцироваться или шифроваться. Глупо добавлять все их вариации. Так я это и не делаю. Я нахожу кусок кода, который общий для семейства подобных вирусов и добавляю его. Также в скрипте реализована несложная эвристика, позволяющая определить подозрительные файлы, в которых используются конструкции, характерные для вирусов и вредоносных скриптов.

В общем, скрипт писался не один день и много в нем придумок, которые без многопользовательского тестирования бы и не пришло в голову.
Так что вот так.

И это...я вам ничего не должен. Я тут людям помочь хочу. Но если вы посчитаете, что я тут с какой-либо выгодой решил , как вы это называете, "рекламировать" свой бесплатный скрипт, прошу данную тему удалить, чтобы более не поднимать данный вопрос.
« Последнее редактирование: 01.07.2012, 16:38:02 от revisium »
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Мне больше непонятен момент с base64. Вообще то хочется видеть, что запускаешь. Или предлагаете выполнять телодвижения по проверке еще и Вашего скрипта? Если это и есть база, то какой смысл ее кодировать?

Вы задаете правильный вопрос.
1. Да, это и есть база. Ну и, конечно, если мучит паранойя, проверьте :)
2. Шифровать нужно для того, чтобы вы смогли его загрузить на сайт. Потому что если хранить базы в открытом виде, во-первых файл не пропустит касперский и др веб (найдя в них сигнатуры вредоносных скриптов), а во-вторых - не пропустит проактивная защита на некоторых хостингах, которая проверяет то, что загружают по FTP на сайт.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

al-teen

  • Глобальный модератор
  • 2385
  • 224 / 10
  • im
Вы задаете правильный вопрос.
1. Да, это и есть база. Ну и, конечно, если мучит паранойя, проверьте :)
2. Шифровать нужно для того, чтобы вы смогли его загрузить на сайт. Потому что если хранить базы в открытом виде, во-первых файл не пропустит касперский и др веб (найдя в них сигнатуры вредоносных скриптов), а во-вторых - не пропустит проактивная защита на некоторых хостингах, которая проверяет то, что загружают по FTP на сайт.

Благодарю за содержательный ответ. Но тут уже выглядит параноидальным сам факт использования Вашего приложения, не находите?
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Я ведь не настаиваю на его использовании. Каждый решает сам, какими инструментами пользоваться.
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

antant

  • Захожу иногда
  • 106
  • 4 / 0
Благодарю за содержательный ответ. Но тут уже выглядит параноидальным сам факт использования Вашего приложения, не находите?

Меня лично привела к этому скрипту необходимость - какая-то зараза прописывала редиректы для поисковиков в .htaccess на чужие сайты

Обновление до последней версии 1.5.26 (сайт достался в версии 1.5.14), смена всех паролей, потом и хостинга не помогла.
Этот скрипт нашел левый php-файл в папке изображений. Кстати, Касперский Антивирус и Outpost Firewall молчали как рыба об лед при проверке папки изображений (перед заливкой на хостинг проверил обоими).
*

Samovar

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Ошибку выдает:

Parse error: syntax error, unexpected T_STRING in /home/kirpyk5/public_html/ai-bolit.php on line 15

В ЧАВО не нашел.
*

Sashket

  • Новичок
  • 7
  • 0 / 0
ТС, а почему Вы уже почти две недели не отвечаете на это на вашем же сайте? хоят последний раз отписывались там час назад...
---
Павел Спивак
Хорошее разводилово для дураков. В самом коде php-файла айболита зашифрован код вредоносной фишинговой ссылки base64, с которой сейчас все ведут борьбу. Загляните в сам код и обалдейте от "счастьЯ", которое вам привалит, вместо борьбы с паразитами, вы приобретёте удава-паразита. Будьте осмотрительнее, други. Бесплатный сыр - только в мышеловке!
10 ноя в 21:50
*

Apple_Buy

  • Захожу иногда
  • 71
  • 1 / 0
  • Истина всегда рядом....
Павел Спивак наверно с головой не дружит и не разбирается в том о чем идет речь, в php файле айболита действительно если посмотреть есть закодированная часть кода, но как по мне это лишь сигнатуры, да и потом как нужно не дружить с головой чтобы получать патент на программу которая причиняет вред? Это же противоречит здравому смыслу и если бы Павел Спивак был прав, то Автор: Григорий Земсков давно бы уже сам себя посадил за распространение созданного им вредоносного кода :)
*

zikkuratvk

  • Глобальный модератор
  • 4818
  • 344 / 2
  • Обслуживаем проекты - дорого.
в общем я протестил на паре зараженных и уже почищеных сайтов от заражений... признаю скрипт годный нашел пару шелов которые я найти не мог)
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

Sashket

  • Новичок
  • 7
  • 0 / 0
Павел Спивак наверно с головой не дружит и не разбирается в том о чем идет речь, в php файле айболита действительно если посмотреть есть закодированная часть кода, но как по мне это лишь сигнатуры, да и потом как нужно не дружить с головой чтобы получать патент на программу которая причиняет вред? Это же противоречит здравому смыслу и если бы Павел Спивак был прав, то Автор: Григорий Земсков давно бы уже сам себя посадил за распространение созданного им вредоносного кода :)
Спасибо, за комментарий. А то я новичок: с вредоносным кодом на своем сайте впервые столкнулся...
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Спасибо, за комментарий. А то я новичок: с вредоносным кодом на своем сайте впервые столкнулся...
Мыло-мочало, начинай с начала. Еще раз объясню, зачем в скрипте все сигнатуры в base64 кодировке: в сигнатурах содержится код, который распознается антивирусами как вредоносный (что логично, это ведь фрагменты шеллов и вирусов, и именно по ним происходит поиск вредоносного кода на сайте). Поэтому если просто разместить сигнатуры в открытом виде, как есть, то антивирус даже не даст вам распаковать ai-bolit.php из архива. Пожалуй, пора добавлять этот вопрос в FAQ. Обязательно найдется один паникер в месяц, который находит base64 в коде скрипта :-)

Да, скоро будет новая версия, которая работает на основе "гибких паттернов", ищет не только по фиксированным фрагментам, но и с использованием регулярных выражений. Еще больше найденной заразы и меньше ложных срабатываний.

Если есть вопросы по скрипту, пишите мне в личку, на сайте http://revisium.com/ai/ или в группе безопасности http://vk.com/siteprotect
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Хороший скрипт. Не думаю, что автору имеет смысл что-то химичить, т.к. в скрипте вижу рекламу о очистке сайтов от вирусов и вероятно на этом можно тоже неплохо зарабатывать.
*

Kuzmitch

  • Захожу иногда
  • 150
  • 7 / 0
Ставим чистую Joomla (качаем с оф. сайта), даже не ставим а распаковываем. Проверяем Айболитом.
И о чудо. Находим 2 шела. 1 вирус, и 2 подозрение на вредоносный код.
Им еще пользоваться уметь надо. А то налечите так что потом сайты вырубятся.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Ну это вам не касперский. Тут думать надо.

Хотя есть у него проблемка. Слабенькие шареды загибаются от времени выполнения. Думаю тут помочь нечем.
*

Kuzmitch

  • Захожу иногда
  • 150
  • 7 / 0
Да точно! Пробовал на 5 хостингах. Ни на одном не запустился.
Просто поднял свой апач с PHP. Только на нем заработал.
+ косяк на IIS не работает.

На слабых хостингах когда загибается, есть вариант использовать через SSH. но честно сказать не проверял.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
На слабых хостингах как правило нет доступа к ssh
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
а мне вот интиресно мини-шеллы подобным $a($b); детектируют?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2930
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 665
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite
Регистрируются боты на сайте непрерывно.

Автор Stich SPb

Ответов: 27
Просмотров: 13267
Последний ответ 22.02.2021, 17:42:48
от soty20
Сканеры находят кучу вирусов на чистой Joomla

Автор Letsad

Ответов: 10
Просмотров: 1441
Последний ответ 20.04.2020, 19:09:08
от Letsad
Вирус на сайте, редирект, что делать как лечить!

Автор flyingspook

Ответов: 792
Просмотров: 274963
Последний ответ 23.02.2020, 21:18:16
от draff