AI-BOLIT – это сканнер бэкдоров, хакерских шеллов, вирусов, дорвеев и различных хакерских утилит на сайте или заказе клиента.
http://revisium.com/ai/
Скрипт умеет:
- искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, гибким паттернам и на основе несложной эвристики
- искать редиректы в .htaccess на вредоносные сайты
- искать код sape/trustlink/linkfeed в .php файлах
- определять дорвеи
- показывать директории, открытые на запись
- искать пустые ссылки (невидимые ссылки) в шаблонах
Работает со всеми CMS без исключения.
Сканнер может работать в режиме быстрого сканирования (только по php, html, js, htaccess файлам), в режиме “Эксперта”, исключать директории и файлы по маске. А также имеет большую базу crc white-листов популярных CMS, что значительно сокращает количество ложных срабатываний.
Полученный отчет AI-BOLIT может сохранить в удобочитаемый html или отправить его по электронной почте.
В настоящий момент в базе сканнера более 700 сигнатур вредоносных скриптов. Стоит отметить, что это не просто фиксированные фрагменты строк, а гибкие паттерны и правила, построенные на регулярных выражениях, которые позволяют находить обфусцированные шеллы и бэкдоры.
База сигнатур регулярно пополняется новым найденным образцами как специалистами из “Ревизиум”, так и пользователями скрипта, что позволяет поддерживать сканнер в актуальном состоянии.
Установка и использование скрипта несложное. После скачивания архива с сайта разработчика и распаковки его на Ваш сайт, скрипт проверки будет находится в папке ai-bolit/, а скрипт называется ai-bolit.php. Вам необходимо указать пароль для запуска в коде скрипта:
define('PASS', 'ВАШ ПАРОЛЬ ТУТ'); // Put any strong password to open the script from web
Пароль необходимо указывать в кавычках.
Далее необходимо скопировать файлы на сервер в корневой каталог сайта из папок /ai-bolit/ и /know_files/ (которые соответствуют вашей cms (если таких файлов нет, то ничего страшного))
К примеру Вы указали пароль 'pa$$w0rd', тогда ссылка для запуска скрипта для проверки будет выглядеть следующим образом:
http://domain.tld/ai-bolit/ai-bolit.php?p=pa$$w0rd