AI Bolit - скрипт, сканер для сайта.

Автор: admin.


AI Bolit - скрипт, сканер для сайта  Если вы веб-мастер, то рано или поздно, но эта проблема должна придти и к вам. Русский менталитет правда, утверждает совершенно обратное - если что-либо и должно произойти, то только не со мной. Так думал и я, до поры до времени, пока "жаренный петух" не клюнул в одно пикантное место. А ведь как мне казалось, используемые мной общепринятые методы защиты сайта, достаточно приемлимы и надёжны. Увы, нет такого сайта, который нельзя было бы взломать, вопрос только в том, кому это надо и сколько времени и затрат оно займёт?

  Как бы там нибыло б, но случилось то, что случилось и первый вопрос сразу встал, что делать дальше? Сразу хочется сказать - все онлайновые антивирусные сканеры для сайтов, это полная эмуляция якобы какой-то деятельности, в действительности же, просто пустая трата времени и сил, одним словом - полная "туфта" (можете не сомневаться). Здесь нужен инструмент, реально умеющий делать своё дело и такой инструмент есть, да ещё совершенно бесплатный!

  AI Bolit - это бесплатный сканер вирусов, хакерских шеллов, бэкдоров, спам-рассыльщиков и других вредоносных скриптов на хостинге. Это действительно реальная "штука", которая в умелых руках, даст вам желаемый результат. Вы знаете, давать здесь сейчас полное описание этого скрипта, я не вижу необходимости, что бы не повторяться, т.к., всё подробно можно найти на официальном сайте, ссылка на который прилагается по окончанию статьи, тем более, что сайт русскоязычный и там можно получить очень много полезной и нужной информации не только по данному скрипту, но и в целом по сайтовой безопасности. Но, кое о чём всё-таки, поговорить можно.

  Данным скриптом можно пользоваться, как на Windows, так и на Linux системах, правда на Linux, это будет несколько сложнее, т.к. все действия производятся из командной строки и нужен будет доступ к серверу по SSH (надеюсь, что всё правильно понял). Если же, у вас такого доступа нет и вообще вы не хотите с этим "заморачиваться", то лучше воспользоваться Windows, можно даже не выходя из Ubuntu с использованием VirtualBox.

Основные сложности.

  На официальном сайте программы, по-мимо самого скрипта, имеется довольно широкий выбор разного рода услуг, которые можно получить, но естественно на платной основе. Если же вы не хотите или не можете заплатить, то придётся разбираться во всём самостоятельно. Сложность всей этой процедуры, на мой взгляд, заключается даже не в установке скрипта, всё это можно сделать буквально в течении 15 мин., а в дальнейших действиях, после получения отчёта о сканировании. Выглядит это так:

Окончательный результат отчёта сканера AI-Bolit

  Кроме реально найденных угроз, скрипт ещё может указывать на возможные заражения, что в значительной степени увеличивает весь общий объём анализируемой информации. И дело здесь не в несовершенстве данного скрипта, а в том, что определённые участки кода, могут использоваться как в нормальных файлах, так и в заражённых, поэтому программа не может с абсолютной точностью определить, вредонос это или нет. Другими словами, для того, что бы полноценно работать с программой, необходимо разбираться и понимать java\php-код. Вопрос - что же делать нам, простым смертным?

 

Первая попытка.

  После того, как я просканировал свой сайт данным методом и получил длиннющий отчёт, я понял, что не имея соответствующих познаний в программировании, мне с этой проблемой так просто не справиться. Эксперимента ради, я скачал чистый "движок" и просканировал его тоже. На моё удивление, потенциально-возможных угроз было найдено предостаточно, что лишний раз подтверждало мою несостоятельность в решении возникшей проблемы. На официальном сайте для такого случая, рекомендуют использовать метод сравнения файлов от чистого движка, с файлами от заражённого движка (без наличия знаний java\php). Логически верно, но слишком трудоёмко, хотя при использовании специальных программ для сравнения файлов - очень даже может быть? Нет, мне это явно не подходит, будем думать.

 

Думаем, анализируем, предполагаем.

  Первое, что очень хотелось понять, каким образом произошло заражение сайта? Пометавшись из стороны в сторону и перелопатив несколько тематичных сайтов, как-то вырвалось само-собой - да в конце-концов, я же не специалист по веб-безопасности, ну не знаю я как это получилось, хотя определённые предположения присутствовали. Во всяком случае, это уж точно не стандартный взлом начинающего пятиклассника-хакера (на сию уверенность, имелись свои причины). Хорошо, думаем дальше, сейчас главное оживить свой сайт, а уж познавать неопознанное будем потом.

Как устроен обычный движок? Это:

1) База данных.
2) Встроенные php\java-скрипты.
3) Тоже скрипты от плагинов.
4) Изображения - визуальное оформление сайта.

В каком виде происходит заражение на сайте?

1) Появление неизвестных php-файлов.
2) Появление неизвестного кода в js-файлах (java).
3) Изменения в записях базы данных.

  Скорее всего, это не полный перечень заражений, но самый распространённый и очевидный. Теперь немного поработаем:

1) Появление неизвестных php-файлов. Да, они каким-то образом генерируются, причём в очень большом количестве, особенно любят находиться в папках с изображениями. Если ваш сайт заражён или есть подозрение на это, зайдите в директорию с изображениями и полазайте там внимательно, рядом с файлами изображений, будут находится php-файлы с непонятным названием. В большинстве своём, при разных названиях файлов, внутреннее их содержимое, скорее всего будет одинаковое (верный признак заражённости).

2) Появление неизвестного кода в js-файлах (java). Найдите на сайте какие-нибудь "родные" js-файлы, обычно они все находятся в одном месте, такие же файлы от плагинов могут находится в другом месте (директория plugins). Необязательно разбираться в коде, главное суметь обнаружить какой-то кусок кода, обычно располагающийся в самом верху файла, который будет одинаковым во всех других js-файлах. Понимаете, да! Код одинаковый - файлы разные (тоже, верный признак, когда "запахло жаренным"). Если такой код, успел сгенерироваться в достаточном количестве, то обнаружить его будет несложно.

3) Изменения в записях базы данных. Это конечно более сложный случай, если такое произошло, то значит был совершён реальный, серьёзный взлом. Как искать причины в таком случае и устранять их, я не знаю. Но, нужно понимать и следующее, если соблюдать элементарные правила безопасности, то проникнуть в базу данных сайта, задача далеко непростая, это под силу довольно подготовленным взломщикам, которые заниматься этим вряд ли будут, а если уж учитывать, что ваш сайт не несёт в себе какой-либо финансовой заинтересованности, то тем более. Процент такого взлома, особенно на сайтах как этот, крайне мал, практически этот вариант можно смело исключить, но иметь в виду всегда надо.

  К чему мы пришли в итоге? Если мы имеем наличие по одному из вышеописанных признаков, значит чёрная полоса для вашего сайта уже наступила.

 

Решаем создавшуюся проблему.

  Итак, на предыдущем шаге мы прояснили для себя ситуацию и пришли к неутешительным выводам. Вышеописанный скрипт AI Bolit - вещь хорошая, но сложная, как быть? Что ж, если нельзя "зайти через дверь, можно попробовать зайти через окно"! На основе проведённого выше небольшого анализа, выбираем вариант наиболее короткого пути. Исключаем позицию с базой данных, как очень маловероятную, исключаем также, позицию с java\php-файлами, почему, сейсас всё станет ясно, остаётся только вариант с изображениями.

Подготовка.

1) Скачиваем к себе на компьютер всю директорию с изображениями и тупо проверяем каждую папку на наличие в ней php-файлов. Если таковые имеются, то просто удаляем их. Здесь имеется в виду изображения те, которые вы сами создавали и закачивали на сервер, для публикации их в материалах. Данная работа может занять некоторое время, но это не дольше, чем если бы вы "разгребали" весь объём данных, которые вам выдал AI Bolit после сканирования. Фактически, это единственное, что нам нужно почистить, т.к. всё остальное мы просто заменим на новое (это собственно и есть ответ на вопрос, почему мы исключили вариант с java\php-файлами).

2) Необходимо собрать в единый список все плагины, расширения, модули и прочее, всё то, что вы устанавливали самостоятельно как дополнения. Если есть возможность скачать их заранее, то лучше это сделать, что бы всё уже было под рукой.

3) Если вы использовали стороннюю тему, то её тоже нужно найти и скачать.

4) Сделать бэкап базы данных и скачать к себе на компьютер. Повторюсь, в данном случае мы имеем в виду, что ваша существующая база данных не была подвержена несанкционированным изменениям (что, как мы уже говорили, является не частым явлением, но не полным исключением). Но вообще, нужно обязательно сделать полный бэкап всего сайта, что бы при неудачном стечении обстоятельств, всегда можно было бы вернуться к исходному и не потерять полностью всё, что было.

5) Скачиваем чистую версию вашего движка.

Окончательное решение проблемы.

1) Заходим на сервер и удаляем все файлы.

2) Заходим в базу данных и удаляем её.

3) Устанавливаем новый движок.

4) Устанавливаем тему оформления, которую использовали ранее и которую заранее скачали.

5) Устанавливаем плагины и всё остальное, чем пользовались раньше и заранее скачали. Делать при этом какие-либо настройки не нужно, достаточно просто установить, т.к. при "трансплантации" бэкапа базы данных, всё восстановится само-собой.

6) Заходим опять в базу данных и удаляем её.

7) Устанавливаем базу данных из нашего бэкапа.

  Если всё сделано правильно, то вы получите свой же сайт, в полностью рабочем состоянии и совершенно "здоровым" !!!

 
 

  В заключении хочется добавить, что статья была задумана об одном, а получилось немного иначе. Но главное, если это кому-то поможет и окажется полезным, то основная сущность материала, выполнена. И ещё, всё это, никак не может являться абсолютным и единственным эталоном, для решения задач подобного плана. Это всего лишь один, из наиболее возможных вариантов. Век живи - век учись!

Положительные характеристики AI Bolit:

  • Единственно известный мне скрипт, реально делающий своё дело.


Отрицательные характеристики AI Bolit:

  • Довольно сложен для простого пользователя.


Параметры:

Язык интерфейса:  русский
Лицензия:  Free
Домашняя страница:  http://www.revisium.com/ai/
Подробная инструкция по сканированию: http://www.revisium.com

  Всё выше описанное, было проверено на собственном сайте: linux-info.ru.

 

 

 

Необычные онлайн сервисы (1)

 

Copyright 2011-2016 AI Bolit - скрипт, сканер для сайта. All Rights Reserved.
Joomla theme by hostgator coupons