ai-bolit.php ------------ https://revisium.com/ai/ ai@revisium.com Изменения в версии 20170110 - обновлена база данных вредоносных скрипт и список исключений - детектируется уязвимый скрипт PHPMailer Изменения в версии 20161225 - обновлена база данных вредоносных скрипт и список исключений - добавлена оптимизация процесса сканирования в "smart" режиме: повышение скорости и минимизация ложных срабатываний - изменен механизм исключения файлов из списка .adirignore (теперь можн исключать не только каталоги, но и файлы) Изменения в версии 20161127 - обновлена база данных вредоносных скрипт и список исключений Изменения в версии 20161119 - обновлена база данных вредоносных скрипт и список исключений - исправлены сниппеты в результатах сканирования - пропущенные php файлы больше 600Кб отображаются в "красной секции" отчета Изменения в версии 20161110 - обновлена база данных вредоносных скрипт и список исключений - исправлена ошибка в vps_docroot.php скрипте Изменения в версии 20161104 - обновлена база данных вредоносных скрипт и список исключений Изменения в версии 20161024 - обновлена база данных вредоносных скрипт и список исключений Изменения в версии 20160817 - обновлена база данных вредоносных скрипт и список исключений - удалены из отчета списки двойных расширений Изменения в версии 20160720 - добавлены новые сигнатуры вредоносного кода и файлы "белого списка" Изменения в версии 20160701 - добавлены новые сигнатуры вредоносного кода и файлы "белого списка" Изменения в версии 20160515 - добавлены новые сигнатуры вредоносного кода и файлы "белого списка" - добавлены файлы с расширением .php7 и .pht в список обязательных для сканирования Изменения в версии 20160324 - добавлены новые сигнатуры вредоносного кода и файлы "белого списка" Изменения в версии 20160312 - исправлена сортировка результатов сканирования в отчете (группировка файлов по сигнатурам) - добавлены новые сигнатуры вредоносного кода и файлы "белого списка" Изменения в версии 20160305 - добавлен параметр --scan для проверки только определенного списка расширений - пополнена база данных "белого списка" скриптов - добавлены новые сигнатуры вредоносных скриптов - исправлена ошибка обработки "белого списка" для фишинговых страниц Изменения в версии 20160227 - пополнена база данных "белого списка" скриптов - добавлены новые сигнатуры вредоносных скриптов Изменения в версии 20160219 - выявлена ошибка работы со списком файлов-исключений (AI-WHITELIST.db), необходимо установить short_open_tag=on (php -d short_open_tag=on ai-bolit.php ...) - добавлены новые сигнатуры вредоносных скриптов - добавлены новые CMS в "белый список" Изменения в версии 20160202 - новый механизм исключений (белый список файлов CMS): AIBOLIT-WHITELIST.db со стойкими хэшами и новыми CMS - новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов - исправлена ошибка конвертации из UTF-16 кодировок - вывод статуса при ошибке обработки файла (слева от имени файла) - определение уязвимости в rsform - исправлены пути при замене префиксов addprefix/noprefix - изменены параметры memory_limit и уровня вложенности pcre Изменения в версии 20151227 - новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов - новый формат текстового отчета - определение уязвимых скриптов в CMS Joomla - исправлена ошибка замены префикса адреса Изменения в версии 20151206 - новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов - исправлен ряд ошибок в работе исключений - добавлено определение уязвимого скрипта Joomla com_adsmanager Изменения в версии 20151113 - новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов - изменение базы данных сигнатур, минимизация ложных срабатываний в обычном режиме сканирования - новые aknown файлы для joomla и wordpress - исправлены ошибки формирования отчета Изменения в версии 20151008 - контроль целостности (изменений в файлах) - новые сигнатуры вирусов - изменение формата отчета (блок "реклама, ссылки, дорвеи") - новые aknown файлы для joomla и wordpress Изменения в версии 20150901 - режим "умного сканирования": ускоренная проверка медиа-файлов и документов - удаление паролей из конфигурационных файлов при помещении в архив карантина - регистронезависимый параметр --skip (расширения jpg и JPG - одно и тоже) - параметр --with-2check для работы с файлом AI-DOUBLECHECK.php - новые сигнатуры вирусов и хакерских скриптов - exit code зависит от результатов сканирования - новые aknown файлы для wordpress и joomla - замена пути в отчете при сканировании - запуск нескольких экземпляров сканера из одного каталога Изменения в версии 20150803 - создания архива вредоносных скриптов "карантин" - обнаружение обфусцированных и зашифрованных вредоносных скриптов - новые сигнатуры хакерских скриптов и вирусов - ускорение сканирования - запуск произвольной команды по окончании сканирования - новые сниппеты бинарных файлов в отчете Изменения в версии 20150703 - исправлена ошибка в регулярном выражении, которая в некоторых случаях могла аварийно завершать сканер - добавлен карантин - добавлена поддержка внешних сигнатур Изменения в версии 20150701 - новые сигнатуры - сканирование неограниченного числа файлов - сканирование в один проход (не формирует список файлов для сканирования и не показывает оставшееся время) - оптимизация сканирования под ОС Windows - выполнение команды после завершения сканирования - исправление ошибки обхода символических ссылок Изменения в версии 20150615 - новые сигнатуры - новые aknown файлы для Wordpress, Joomla, MODx - добавлена опция исключения расширений из списка для сканирования - оптимизирован процесс проверки файлов - добавлена проверка на минимальную версию PHP для запуска - исправлена работа параметров - увеличено число файлов, определяемых как дорвей Изменения в версии 20150508 - новые сигнатуры - исправлена ошибка оптимизированного поиска - исправлена ошибка сканирования через браузер - добавлены aknow файлы для wordpress, joomla, magento Изменения в версии 20150329 - новые сигнатуры - изменен процесс сканирования и отчет для блока "предупреждения" Изменения в версии 20150319 - добавлены новые опции в скрипт: выбор файла .aknown для сканирования и установка типа сканирования (обычный, эксперт, параноидальный) - оптимизирована работа с файлами - исправлены ошибки определения некоторых уязвимых скриптов Изменения в версии 20150317 - новый дизайн отчета - детектирование уязвимых скриптов (timthumb, uplodify, fckeditor, phpmyadmin и др.) - переработан и оптимизирован алгоритм сканирования - появилась возможность быстрой замены дизайна отчета (для партнеров с коммерческой лицензией) - добавлены новые whitelist файлы для Wordpress, Joomla, Drupal, DLE, Bitrix - добавлены новые сигнатуры Изменения в версии 20150104 - большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц - белые списки aknown для Wordpress, Joomla Изменения в версии 20141013 - большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц - белые списки aknown для Wordpress 4.0, Joomla 2.5.26 и 3.3.6, opencart 1.5.6.4, ocstore 1.5.5.1.2 Изменения в версии 20140901 - пополнена база новых сигнатур вирусов, шеллов, дорвеев - улучшена производительность сканирования - добавлены несколько эвристик для поиска бэкдоров Изменения в версии 20140810 - большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц - отдельная секция с обнаруженными фишинговыми страницами - отображение номера строки, в котором обнаружен вредонсоный код (в начале сниппета) - генерация отчета по списку критических замечаний в тестовом формате (при установленной опции --list или -l) - поддержка кодировки utf8 и utf16 при сканировании - небольшая оптимизация производительности - исправлены ошибки в детектировании hex/oct последовательностей - белые списки aknown для Wordpress 3.9.2, Joomla 2.5.24/3.3.3, Drupal 7.31, InstantCMS 1.10.4 / 2.1.1, - информационные блоки про список подозрительных файлов и пустых ссылок отключены по-умолчанию Изменения в версии 20140612 - Переработана база сигнатур, минимизировано число ложных срабатываний - Три режима работы "обычный" (AI_EXPERT = 0), "эксперт" (AI_EXPERT = 1), "параноидальный" (AI_EXPERT = 2) - Добавлены .aknown файлы для wordpress 3.9.1, joomla 3.3.1 / 2.5.21, dle 10.2 - Традиционно новые сигнатуры вирусов и хакерских скриптов - Исправлено несколько ошибок, оптимизирована работа скрипта Изменения в версии 20140417 - Удобный интерфейс для работы с отчетом (для данной возможности нужно иметь подключение к интернету во время просмотра отчета): * доступны фильтр/поиск по подстроке * доступны сортировка по типам сигнатур, по дате и времени, по размеру, по контрольной сумме * доступно скрытие строк (файлов) с одинаковыми сигнатурами - Точное определение версий 13 типов cms (см. в конце отчета) - Добавлены .aknow файлы для wordpress 3.9, drupal 6.28, 6.31, 7.27, 7.4, 7.5, 7.6, 7.7, 8.0.alpha, 9.x.dev - Добавлен файл tools/aknow_producer.php, позволяющий генерировать свои .aknown файлы. - По-умолчанию сделан режим "Эксперт". Кого пугает много "красного цвета", можно перевести скрипт в режим "экспресс-сканирование" согласно инструкции - Традиционно новые сигнатуры вирусов и хакерских скриптов Изменения в версии 20140303 - Изменено форматирование отчета, добавлены счетчики найденных вредоносов - Добавлены .aknown файлы для Wordpress 3.8.1, DLE 10.1, Bitrix 14, Joomla 2.5.18 и Joomla 3.2.2 - Новые сигнатуры - Уменьшено кол-во ложных срабатываний для некоторых сигнатур Изменения в версии 20140125 - Новые сигнатуры - Уменьшено кол-во ложных срабатываний для некоторых сигнатур Изменения в версии 20140103 - Новые сигнатуры - работа с UTF8 файлами - исправлена ошибка в декодировщике - режим работы: "обычный" и "эксперт" - добавлены .aknown файлы для wordpress 3.7.1 / 3.8, modx 2.2.8, joomla 2.5.17 / 3.2.1 Изменения в версии 20131025 - Новые сигнатуры шеллов и вирусов - Уменьшено кол-во ложных срабатываний - Новые .aknown файлы - Небольшое изменение в отчете относительно отображения двойных расширений Изменения в версии 20130910 - Исправлена ошибка ложных срабатываний Изменения в версии 20130909 - Добавлены новые сигнатуры вирусов и шеллов - Добавлены .aknown файлы для Joomla 2.5.14 / 3.1.5, Wordpress 3.6 - Добавлены новые сигнатуры в .aignore файл Изменения в версии 20130723 - Добавлены новые сигнатуры вирусов и шеллов - Добавлены .aknown файлы для Bitrix, Joomla, Wordpress, DLE Изменения в версии 20130609 - Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE) - Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге. - Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов. Изменения в версии 20130519 - Добавлены новые сигнатуры вирусов и шеллов - Детектирование двойных расширений .php.<что-то> - Добавлен аргумент -j (--file) для сканирования конкретного файла - Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8 Изменения в версии 20130401 - Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад) - Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме) - Двухязыковый интерфейс (русский, английский) - Новые сигнатуры - Добавлены файлы aknown для Joomla 2.5.9 - Добавлены файлы в .aignore и адреса в .aurlignore - Много всяких мелких улучшений в алгоритмах определения вредоносного кода Изменения в версии 20130201 - новые сигнатуры - файл отчета запрещен к индексированию - в имени файла отчета добавляется случайное число для защиты от подбора имени - добавлен .aknown файл для Wordpress 3.5.1 Изменения в версии 20130122 - новые сигнатуры, добавлено несколько исключений из ложных срабатываний - новые доверенные файлы от cms: .aknown.* (instantcms, invision power board) - ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память) - исправлена ошибка с подсчетом кол-ва сканируемых файлов - разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js - отображается список скрытых файлов (начинающихся с "точки") Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний) - полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях) - добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore) - добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета) - много новых и свежих сигнатур шеллов, вирусов и дорвеев - исправлена ошибка поиска невидимых ссылок - отображение в отчете найденных символических ссылок - отображение в консоли статистики по найденным проблемам Изменение в версии 20121106 - новые сигнатуры, включая несколько троянов в бесплатных темах wordpress - автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix - поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить - исправлен Warning с ereg() Изменение в версии 20121014 - новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов) - игнорирование символических ссылок на каталоги и файлы (на случай зацикливания) - добавился блок показа конфигурации PHP при запуске из браузера - реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli. - улучшена обработка внешних include - новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html - улучшенное отображение прогресса сканирования в командной строке - добавлен режим отладки скрипта DEBUG_MODE Изменение в версии 20120902 - обновлена база сигнатур - часть директорий можно исключить из сканирования, добавив их в .adirignore файл (поддерживаются фрагменты и метасимволы регулярных выражений) - улучшен алгоритм поиска подозрительных файлов с сигнатурами