Сканер AI-BOLIT для хостинг-компаний

В настоящий момент сканер AI-BOLIT является, пожалуй, самым эффективным сканером вредоносного кода для сайтов. Он использует большую базу вредоносных сигнатур, построенную на базе гибких паттернов (регулярных выражений) и эвристики, которая содержит самые свежие образцы вредоносного кода: хакерских шеллов, бэкдоров, вирусных фрагментов, фишинговых страниц, дорвеев и других видов вредоносных скриптов и сигнатуры спам-/рекламных страниц.
Есть два основных сценария применения сканера:

1. оперативная проверка сайтов на взлом, вирусы и публичные уязвимости (обычный режим сканирования)
2. детальная диагностика заражения и последующего лечения сайта по полученному отчету (режим сканирования “параноидальный”)
   

В отличие от повсеместно используемых ClamAv и Maldet, база вредоносных скриптов и число различных видов вредоносного кода в AI-BOLIT’е намного больше .  
Список возможностей сканера можно посмотреть в этой статье . Параметры запуска AI-BOLIT для различных сценариев приведены в этой , этой и этой заметке .
В данной статье хотелось бы заострить внимание на возможностях, которые полезны при запуске на стороне хостинга (из технической или биллинг-панели хостера).
Чтобы выполнить сканирование сайта, по большому счету, достаточно запустить процесс, указав скрипту сканирования путь для проверки и полное имя результирующего отчета. Отчет в сканере формируется в двух форматах:

1. HTML страница, для которой можно использовать собственный дизайн.
   
   
2. Текстовая версия, в которой будут перечислены вредоносные скрипты, сгруппированные по типам вредоносного кода и показано начало каждого обнаруженного фрагмента.
   
   

За счет аргументов командной строки, можно гибко настроить варианты сканирования и параметры запуска:

1. указать режим проверки сайта (обычный, параноидальный)
2. исключить из проверки отдельные расширения (например, исключить медиа-файлы)
3. заменить пути к файлам в отчете, чтобы не отображать реальный путь до каталога, в котором выполнялось сканирование (для тех случаев, когда файлы сканируются на бэкап- или на отдельном сервере)
4. указать команду, которая выполнится после завершения работы сканера
5. установить ограничения на максимальный размер проверяемого файла и др.
   

Как показывает опыт предыдущих интеграций, сканер можно запускать не только на основном сервере, где размещаются актуальные версии сайтов, но и на бэкап-серверах, на специальном сервере или из Docker’а. А процедуру проверки запускать по расписанию (например, ежедневно ночью для всего сервера), по запросу клиента, с активацией через панель управления хостингом (кнопка “просканировать”) и пр.

Примеры того, как это реализовано у различных хостинг-компаний:






Кроме того, мы активно сотрудничаем с хостинг-компаниями: оказываем консультации по безопасности сайтов, выполняем диагностику, лечение серверов и сайтов клиентов, разрабатываем методические материалы по безопасности и защите сайтов от взлома.