Сканер AI-BOLIT предназначен для проверки сайта на вирусы и взлом. Его можно использовать как в профилактических целях для регулярной проверки сайта на вирус, так и для поиска хакерских шеллов, бэкдоров, фишинговых страниц, вирусных вставок, дорвеев, спам-ссылок и других вредоносных фрагментов в файлах сайта.
Проверка может выполняться как непосредственно на хостинге (рекомендуется запуск сканера в режиме командной строки через SSH), так и на локальном компьютере под любой операционной системой (Windows, MacOS X, *nix). Сканер AI-BOLIT проверяет файлы по собственной антивирусной базе, а также использует особые эвристические правила для обнаружения новых (пока еще не известных) вредоносных фрагментов. В случае обнаружения опасных фрагментов формирует отчет со списком обнаруженных файлов в html или текстовом формате.
В сканере есть два режима работы "обычный" и "параноидальный".
Для диагностики взлома и заражения сайта достаточно проверить файлы сайта в обычном режиме. Он дает мало ложных срабатываний и подходит для оценки заражения сайта или факта взлома. Для того чтобы детально проверить сайт на вирусы и хакерские скрипты, а также сформировать отчет для лечения сайта, необходимо проверять файлы в режиме "параноидальный". В данный отчет попадают не только известные вирусные фрагменты или хакерские скрипты, но и подозрительные фрагменты, которые необходимо изучить, так как потенциально они могут быть вредоносными.
Заходим на официальный сайт и скачиваем архив ai-bolit.zip, распаковываем его и загружаем в корневую директорию вашего сайта. В архиве лежит в том числе инструкция readme.txt.
В результате у вас должна образоваться папка ai-bolit, выгрузите ее содержимое в корень и откройте файл ai-bolit.php для редактирования через текстовый редактор.
В этом файле отыщите строку define(‘PASS’, ‘?????????????’) и укажите свой пароль вместо знаков вопросов.
define('PASS', 'пароль');
Затем найдите строку define(‘AI_EXPERT_MODE’, 1) и здесь следует указать параметр, чтобы выбрать режим сканирования.
Если установить 0, то проверка будет неглубокой и быстрой, 1 — режим эксперта, средняя проверка, и 2 – параноидальная проверка, долгая и глубокая. Рекомендую использовать параноидальный метод для лечения сайта от вирусов.
define('AI_EXPERT_MODE', 1);
Сохраните изменения в этом файле и закройте его.
После загрузки скрипта на сервер в корневую директорию сайта, нужно запустить AI Bolit по ссылке в адресной строке вашего браузера:
https://domain.ru/ai-bolit.php?p=my_Password
Измените domain.ru на адрес вашего сайта, а my_Password на пароль, который вы записали в ai-bolit.php.
Как работать со сканером AI-BOLIT через SSH
Справка по параметрам командной строки сканера AI-BOLIT
Показать помощь
php ai-bolit.php --help
Исключить из сканирования медиа-файлы
php ai-bolit.php --skip=jpg,png,gif,jpeg,JPG,PNG,GIF,bmp,xml,zip,rar,css,avi,mov
Просканировать только определенные расширения
php ai-bolit.php --scan=php,php5,pht,phtml,pl,cgi,htaccess,suspected,tpl
Подготовить файл карантина для отправки специалистам по безопасности. Будет создан архив AI-QUARANTINE-XXXX.zip с паролем.
php ai-bolit.php --quarantine
Запустить сканер в режиме "параноидальный" (рекомендуется для получения максимально-детализированного отчета)
php ai-bolit.php --mode=2
Запустить сканер в обычном режиме (рекомендуется для оценки заражения)
php ai-bolit.php --mode=1
Проверить один файл "pms.db" на вредоносный код
php ai-bolit.php -jpms.db
Запустить сканер с размером памяти 512Mb
php ai-bolit.php --memory=512M
Установить максимальный размер проверяемого файла 900Kb
php ai-bolit.php --size=900K
Делать паузу 500ms между файлами при сканировании (для снижения нагрузки)
php ai-bolit.php --delay=500
Отправить отчет о сканировании на email myreport@mail.ru
php ai-bolit.php --report=myreport@mail.ru
Создать отчет в файле /home/scanned/report_site1.html
php ai-bolit.php --report=/home/scanned/report_site1.html
Просканировать директорию /home/s/site1/public_html/ (отчет по-умолчанию будет создан в ней же, если не задана опция --report=файл_отчета)
php ai-bolit.php --path=/home/s/site1/public_html/
Выполнить команду по завершении сканирования.
php ai-bolit.php --cmd="~/postprocess.sh"
Получить отчет в текстовом виде (plain-text) с именем site1.txt
php ai-bolit.php -lsite1.txt
Можно комбинировать вызовы, например,
php ai-bolit.php --size=300K --path=/home/s/site1/public_html/ --mode=2 --scan=php,phtml,pht,php5,pl,cgi,suspected
Более подробную информацию можно найти на официальном сайте