13 Января, 2016

Сканер AI-BOLIT для хостинг-компаний

revisium
В настоящий момент сканер AI-BOLIT является, пожалуй, самым эффективным сканером вредоносного кода для сайтов. Он использует большую базу вредоносных сигнатур, построенную на базе гибких паттернов (регулярных выражений) и эвристики, которая содержит самые свежие образцы вредоносного кода: хакерских шеллов, бэкдоров, вирусных фрагментов, фишинговых страниц, дорвеев и других видов вредоносных скриптов и сигнатуры спам-/рекламных страниц.
Есть два основных сценария применения сканера:
  1. оперативная проверка сайтов на взлом, вирусы и публичные уязвимости (обычный режим сканирования)
  2. детальная диагностика заражения и последующего лечения сайта по полученному отчету (режим сканирования “параноидальный”)
В отличие от повсеместно используемых ClamAv и Maldet, база вредоносных скриптов и число различных видов вредоносного кода в AI-BOLIT’е намного больше .  
Список возможностей сканера можно посмотреть в этой статье . Параметры запуска AI-BOLIT для различных сценариев приведены в этой , этой и этой заметке .
В данной статье хотелось бы заострить внимание на возможностях, которые полезны при запуске на стороне хостинга (из технической или биллинг-панели хостера).
Чтобы выполнить сканирование сайта, по большому счету, достаточно запустить процесс, указав скрипту сканирования путь для проверки и полное имя результирующего отчета. Отчет в сканере формируется в двух форматах:
  1. HTML страница, для которой можно использовать собственный дизайн.

  2. Текстовая версия, в которой будут перечислены вредоносные скрипты, сгруппированные по типам вредоносного кода и показано начало каждого обнаруженного фрагмента.

За счет аргументов командной строки, можно гибко настроить варианты сканирования и параметры запуска:
  1. указать режим проверки сайта (обычный, параноидальный)
  2. исключить из проверки отдельные расширения (например, исключить медиа-файлы)
  3. заменить пути к файлам в отчете, чтобы не отображать реальный путь до каталога, в котором выполнялось сканирование (для тех случаев, когда файлы сканируются на бэкап- или на отдельном сервере)
  4. указать команду, которая выполнится после завершения работы сканера
  5. установить ограничения на максимальный размер проверяемого файла и др.
Как показывает опыт предыдущих интеграций, сканер можно запускать не только на основном сервере, где размещаются актуальные версии сайтов, но и на бэкап-серверах, на специальном сервере или из Docker’а. А процедуру проверки запускать по расписанию (например, ежедневно ночью для всего сервера), по запросу клиента, с активацией через панель управления хостингом (кнопка “просканировать”) и пр.

Примеры того, как это реализовано у различных хостинг-компаний:






Кроме того, мы активно сотрудничаем с хостинг-компаниями: оказываем консультации по безопасности сайтов, выполняем диагностику, лечение серверов и сайтов клиентов, разрабатываем методические материалы по безопасности и защите сайтов от взлома.