Новая версия сканера вредоносного кода AI-BOLIT

Компания “ Ревизиум ” анонсирует новую версию сканера вредоносного кода AI-BOLIT . Данную версию можно считать AI-BOLIT v2.0

Что нового появилось в этой версии сканера?

1. Теперь AI-BOLIT умеет находить скрипты с критическими уязвимостями. Ему известны следующие уязвимые скрипты и уязвимости в CMS:
   • FCKEditor
   • RevSlider for Wordpress
   • Drupal (CVE-2014-3704)
   • DLE Minify (CVE-2013-6619)
   • TimThumb (CVE-2011-4106,CVE-2014-4663)
   • Fancybox-for-wordpress
   • Uploadify (CVE: 2012-1153)
   • PhpMyAdmin ( http://1337day.com/exploit/5334 )
   • TinyMCE ( http://www.exploit-db.com/exploits/9296/ )
     

Эти критические уязвимости в настоящий момент активно эксплуатируются, приводя к массовому взлому сайтов на аккаунтах хостинга. Уже сейчас вы можете проверить, нет ли какой-то из этих уязвимостей в одном из ваших сайтов.

У отчета новый дизайн. Цель редизайна – сделать более удобным просмотр и работу с найденными проблемами. Появилась сводная таблица по важным данным, посмотрев на которую можно сразу определить “масштаб бедствия”.

По запросу наших партнеров с коммерческой лицензией на сканер AI-BOLIT, которые проверяют сайты своих клиентов, появилась возможность полностью изменить дизайн отчета с помощью внешнего шаблона. Теперь не нужно ничего изменять в сканере.  Чтобы использовать внешний шаблон отчета, разместите файл ai-design.html в директории сканера.

Существенно переработан алгоритм сканирования файлов. Удалены неактуальные проверки, добавлены новые критерии для эвристического определения вредоносного кода.

В отчете появилась дополнительная секция “нехарактерные файлы”. Это файлы с расширениями .so, .shtml, .phtml, .cgi, .pl. Это те файлы, которые нетипичны для сайта, работающего под управлением .php и часто в них бэкдоры и шеллы. Конечно, бывают сайты на perl, python, но поскольку AI-BOLIT ориентирован больше на PHP сайты, то данные файлы попадают под подозрение. Вы можете игнорировать эту секцию, если уверены, что обнаруженные файлы не представляют угрозу. А в остальных случаях стоит провести дополнительный анализ обнаруженных .pl и .sh файлов, поскольку так можно найти вредоносные скрипты.

В экспериментальном режиме добавлена возможность определения подозрительных файлов по нехарактерным признакам. Например, .php скрипт в каталоге wp-content/upload/ или по атрибутам (когда файл не доступен для чтения владельцу).

Для снижения числа ложных срабатываний рекомендуем использовать aknown файлы. В архиве можно найти файлы для сведжих версий популярных CMS, включая Wordpress 4.1.1., Joomla 3.4, DLE 10.4, Drupal 7.34 и др.

Ну и конечно же в сканер добавлены новые актуальные сигнатуры вредоносного кода, вирусов, спам-скриптов, бэкдоров и пр.
В скором времени будет выпущена серия обучающих скринкастов, в которых автор расскажет о том, как анализировать отчет сканера, как проверять десятки сайтов на сервер и о многих других полезных применениях AI-BOLIT.

Полный список возможностей сканера можно посмотреть на этой странице .


Скачать новую версию сканера можно по-прежнему по ссылке http://revisium.com/ai/
Партнерам, которые приобрели коммерческую лицензию на сканер, будет предоставлена отдельная ссылка для скачивания новых версий с оперативными обновлениями, а также инструкция по замене шаблона отчета.