9 мая 2013 г.

Сайтов доктор Ай-Болит

скрипт ай-болит отзыв
Впервые мне пришлось воспользоваться скриптом ай-болит полгода назад, и с тех пор он меня не подводил ни разу. Его можно упрекнуть разве что в излишней бдительности - он маркирует как опасные любые файлы, где встречаются слова "спам", "мейл", а также самого себя. Но зато им нетрудно пользоваться, и он бесплатный, а это два самых больших достоинства любого софта в моих пенсионерских понятиях.

В каком случае нам может понадобиться скрипт? Если сайт взломали и заразили. Обычно вредоносные шеллы, рнр файлы, загружаются в подпапки (на Камнях один особо злостный шелл сидел у меня в подпапке с английским языком). Результат их действия - заражаются все файлы на всех сайтах вашего аккаунта. Другой вариант (с ним я столкнулась в последний раз) - шелл грузится прямо в корневую директорию сайта с названием, очень похожим на системное (у меня было что-то типа wp-backups), и результат его работы - изменение файла .htaccess. Также случается, что шеллы с именем, содержащим буквосочетание gif, но с обычным расширением рнр, грузятся в папку с картинками (у меня на Урашке их подгрузили в папку смайлов, и их найти было легко, а на Часах - в подпапку wp-includes/js/tinymce/plugins, и тут я бы сама их в жизни не нашла).

Можно ли обойтись без скрипта? Да, если вы хоститесь на Вебхостинге - у них там есть свой Сканер, достаточно его запустить из своей хостинг-панели, и он вам проверит все файлы. Если вы помните названия всех системных файлов, вы можете легко вычислить затесавшегося в корневую директорию "чужака". Но реально невозможно помнить наизусть все файлы в иерархии джумлы или вордпресса.

Что надо сделать? Чтобы не чистить все файлы, лучше сделать бекап за пару дней до заражения. Тогда мы получим сайт вроде бы чистый, без кода, но с миной замедленного действия - подлым шеллом внутри. Чтобы вытащить этот шелл, и нужен скрипт ай-болит.

Скачивается скрипт тут: http://www.revisium.com/ai/. В принципе, на этой же странице есть и подробная инструкция, но я её повторю на всякий случай со своими комментариями. Нам советуют:

1. Скачать архив со скриптом - тут всё ясно, жмём "скачать". Результат сохранится в виде архива.
2. Распаковать .zip - рекомендую не закачивать сразу архив на хостинг, а распаковать его прямо на компе. Дело в том, что нам нужны не все файлы оттуда. В распакованной папочке вы найдёте папки ai-bolit, known_files и файлы changelog.txt и как запускать.txt. Два последних текстовых файла рекомендуются к прочтению, их мы загружать на свой хостинг не будем. Из папки known_files нам тоже нужен будет только файл, соответствующий нашей версии CMS (для последней версии ВП на сегодняшний день это .aknown.wp3_5_1). Все файлы там лежат по папочкам: для джумлы отдельно, для ВП и Дле - отдельно.

В папке ai-bolit всего три файла, они будут нам нужны все, но сначала придётся внести изменения в файл ai-bolit.php. Откроем его в программе wordpad (она стандартная, есть у всех), при помощи клавиш ctrl+F найдём строчку define('PASS', '666') и поменяем 666 на свой любой пароль. Сохраняем.

Теперь идём на родимый хостинг и загружаем в корневую директорию своего сайта, где лежат все папки нашего вордпресса (или джумлы), следующие файлы: один файл из папки known_files, соответствующий нашей версии CMS, и все файлы из папки ai-bolit.

Можно, конечно, загрузить чохом весь архив, на хостинге его распаковать и там же поменять пароль, но в этом случае у нас окажется слишком много ненужного мусора.

Теперь набираем в браузере адрес: http://ваш_сайт/ai-bolit.php?p=ваш_пароль, который вы вставили вместо 666. Ждём.

скрипт Ай-Болит

Через несколько секунд томительного ожидания мы получим либо отчёт ревизии всех файлов сайта, либо ошибку 502 или 504. Ошибки говорят о том, что у вашего хостинга слишком короткое время на обработку запроса. Не беспокойтесь - достаточно написать в ТП, что вам нужно увеличить время обработки запроса для запуска скрипта ай-болит, и ваш хостер всё поймёт и поменяет ваши настройки.

Кроме шеллов и закодированных кусков, скрипт находит скрытые ссылки в шаблонах, коды сапы, trustlink и linkfeed.

Например, в очёте я увидела путь к шеллу: мой_сайт/public_html/language/en-GB/agaveta.php. Открыла папку, удалила шелл. Там же: en_GB.php, тоже шелл. В подпапке public_html/plugins/system/legacy файл functions.php - тоже шелл. Настоящий, нужный, системный - function.php. В подпапке public_html/plugins/search файл movie.php. В подпапке /public_html/modules/mod_wrapper файл mod.php. В подпапке public_html/components/com_user/views файл с благообразным названием index.php.

Чтобы случайно не удалить нужный файл, я открывала на компе архив с вордпрессом (или джумлой) и сверялась по списку: есть такой файл или нет, и какого он вида. А то скрипт может и нужный файл пометить как сомнительный. Вы не беспокойтесь: заразу сразу видно. Там будет и php eval(base64_decodeмногабукв, и base64_decode($_POST["dir"]) - полный набор гадостей. Сомнительные файлы проверяйте по чистой версии. Чистую последнюю версию ВП или джумлы можно взять на их официальных сайтах, или сверяться по файлам своих незаражённых сайтов.

Вот так, строчка за строчкой, двигаясь в соответствии с отчётом скрипта, я выковыривала по одному шеллу. Один из компонентов оказался полностью заражен, и я его совсем удалила. Убрала все лишние плагины и ненужные темы.

Да, у меня на это ушло часа три-четыре (я чистила весь акк, пять сайтов на Бегете). На Вебхостовские времени ушло меньше, там зараза лежала в корне сайта, по подпапкам лазить не пришлось. Зато теперь я больше не впадаю в панику при очередном заражении, а тут же делаю чистый бекап и запускаю ай-болит. Чего и вам в подобном случае советую.

На вопросы с охотой отвечу в комментах.

11 коммент.:

Отправить комментарий

 
Rambler's Top100