CHANGELOG.md

ai-bolit.php

https://imunify.com/

Изменения в версии 30.4.9-2

• Улучшена работа деобфускатора (DEF-15282, DEF-15297, DEF-15309)
• Исправлена ошибка лечения (DEF-15326)
• Исправлена ошибка сканирования ELF файлов для RapidScan (DEF-15006)

Изменения в версии 30.4.8-1

• Улучшена работа деобфускатора (DEF-14984, DEF-15200, DEF-14793, DEF-15054)
• Исправлена ошибка с --size (DEF-15261)

Изменения в версии 30.4.7-1

• Улучшена работа деобфускатора (DEF-14989, DEF-15126, DEF-14817, DEF-14748, DEF-14924)
• Исправлена работа с LevelDB для функционала с --rapid-scan-rescan-frequency (DEF-15006)
• Изменен алгоритм поиска вредоносных программ (DEF-15187)
• Исправлена ошибка с SplFileObject (DEF-15193)
• Изменены фильтры для ai-bolit (DEF-15206)

Изменения в версии 30.4.6-1

• Улучшена работа деобфускатора (DEF-14687, DEF-14716, DEF-14942, DEF-14968, DEF-14890, DEF-14904, DEF-15105, DEF-14741)
• Исправлена проблема с PCRE в деобфускаторе (DEF-14687, DEF-14254)
• Исправлена ошибка в smart scan (DEF-15058)

Изменения в версии 30.4.5-1

• Улучшена работа деобфускатора (DEF-14702, DEF-14655, DEF-14756, DEF-14782, DEF-14875, DEF-14635, DEF-14818)
• Улучшен код нормализации (DEF-14762)
• Изменен алгоритм эвристики (DEF-14737).
• Исправлена ошибка в генераторе отчетов (DEF-14956).
• Добавлено поле для отчета статистики MDS (DEF-14799).
• Исправлена ошибка в прогресс файле (DEF-14820)

Изменения в версии 30.4.4-1

• Улучшена работа деобфускатора (DEF-14670, DEF-14648, DEF-14610).
• Исправлена ошибка при работе с LevelDB (DEF-14833)

Изменения в версии 30.4.3-1

• Исправлен формат получаемых путей из файла av-admin-paths.txt (DEF-14784)

Изменения в версии 30.4.2-1

• Добавлена зависимость пакета app-version-detector (DEF-14781)

Изменения в версии 30.4.1-1

• Улучшена работа деобфускатора (DEF-14600, DEF-14515, DEF-14623, DEF-14545, DEF-14466, DEF-14456, DEF-14431)
• Исправлена генерация файла прогресса для MDS (DEF-14632)
• Исправлена работа фильтров (DEF-14703)
• Добавлены поля database_port и app_owner_uid в отчет (DEF-14443, DEF-14537)
• Изменен способ обработки символических ссылок MDS (DEF-14365).
• Добавлена base64 кодировка для fn в отчеты в резидентном режиме (DEF-14620).
• Добавлен параметр --skip-imunify360-storage (DEF-13585).
• Добавлен статус для несуществующего файла при лечении с параметром --forcually-cleanup (DEF-14551)
• Добавлена миграция для Rapidscan db (DEF-14536).
• Добавлены пути игнорирования в av-admin-paths.txt (DEF-14343).
• Добавлена опция --rapid-scan-rescan-frequency (DEF-14374)
• Добавлен вердикт RX_SKIPPED_SMART для Rapidscan (DEF-14376)
• Изменено scan_time вместо update_time для Rapidscan (DEF-14372)
• Исправлена опция --smart (DEF-14375)
• Удален AIBOLIT-BINMALWARE.db из ai-bolit и procu2 (DEF-14377)
• Добавлено несколько путей для сканирования БД (DEF-14292).

Изменения в версии 30.3.1-2

• Улучшена работа деобфускатора (DEF-14350, DEF-14227, DEF-14321, DEF-14258, DEF-14294, DEF-14268, DEF-14244, DEF-14409, DEF-14371, DEF-14378, DEF-13946, DEF- 14084, DEF-14006, DEF-13869, DEF-13998, DEF-13901, DEF-14157)
• Улучшен код нормализации (DEF-14178, DEF-14337)
• Добавлена возможность очищать сериализованный контент (DEF-11118).
• Исправлен баг в MDS для --path (DEF-14179)
• Добавлены таблицы для MDS сканирования (DEF-14196)
• Добавлен сбор статистики подозрительных URL для MDS (DEF-13219).
• Добавлена возможность очистки BlackUrls в БД (DEF-13523).
• Добавлена возможность выдавать в отчёт идентификаторы пользователей (DEF-11354).
• Изменен отчет по пользователям для --listing (DEF-14401)
• Добавлен параметр --stat для сбора разрешений файлов (DEF-14480)

Изменения в версии 30.2.3-1

• Добавлен флаг --do-not-send-stats (DEF-14267)

Изменения в версии 30.2.2-1

• Поправлена ошибка в генерации репорта (DEF-13641)

Изменения в версии 30.2.1-1

• Улучшена работа деобфускатора (DEF-13910, DEF-13977, DEF-13967, DEF-13944, DEF-13929, DEF-13889, DEF-13826, DEF-13801)
• Улучшен код нормализации (DEF-13824, DEF-13825, DEF-13958)
• Изменена логика переключения upload и notify jobs (DEF-13732).
• Изменен формат сниппета (DEF-13897)
• Добавлен detached режим для MDS (DEF-13765, DEF-13774, DEF-13776, DEF-13780)
• Добавлен фильтр для ввода списка файлов в стандартном режиме (DEF-13208).
• Добавлена поддержка AVD в MDS (DEF-13764)

Изменения в версии 30.1.1-1

• Улучшена работа деобфускатора (DEF-13777, DEF-13731, DEF-13712, DEF-13648, DEF-13626, DEF-13636, DEF-13515, DEF-13412, DEF-13383, DEF-13425, DEF-13395, DEF- 13367, DEF-13437)
• Добавлена зависимость posix для aibolit и procu2 (DEF-13023)
• Добавлены таймауты и ограничения БД для imunify_dbscan.php (DEF-13726, DEF-13751)
• Добавлены отчеты для корреляционного сервера (DEF-13335)
• Добавлены отчеты об ошибках для проблем с CAS (DEF-13365)
• Разделены базы вредоносных сигнатур для imunify_dbscan.php и ai-bolit (DEF-13652)
• Добавлена возможность мягкой отмены imunify_dbscan.php (DEF-13285)
• Добавлен поиск конфигов CMS в imunify_dbscan.php (DEF-12224)

Изменения в версии 20.0811-1

• Улучшена работа деобфускатора (DEF-13352)

Изменения в версии 20.0805-1

• Улучшена работа деобфускатора (DEF-13205, DEF-13235, DEF-13308, DEF-13333)
• Добавлена нормализация гомоглифов (DEF-13161)

Изменения в версии 20.0717-1

• Улучшена работа деобфускатора (DEF-13211, DEF-13122)
• Исправлена ошибка в работе resident mode (DEF-13176, DEF-13204)

Изменения в версии 20.0709-1

• Исправлена работа finder-а (DEF-13108)
• Улучшена работа деобфускатора (DEF-13028, DEF-12991, DEF-12832, DEF-12998, DEF-12856, DEF-12831)
• Рефакторинг (DEF-10383)

Изменения в версии 20.0619-1

• Улучшена работа деобфускатора (DEF-12715, DEF-12880, DEF-12841)
• Поправлена ошибка в нормализации (DEF-12880)

Изменения в версии 20.0615-1

• Улучшена работа деобфускатора (DEF-12718, DEF-12716, DEF-12663, DEF-12636)
• Оптимизирован код для procu2 (DEF-12749, DEF-12749)
• Изменен приоритет для CloudAssisted (DEF-12772)

Изменения в версии 20.0601-1

• Улучшен код нормализации (DEF-12426)
• Оптимизирован код для работы в resident mode (DEF-12006)
• Улучшена работа деобфускатора (DEF-12582, DEF-12519)
• Поправлена ошибка в деобфускаторе (DEF-12550)

Изменения в версии 20.0521-1

• Добавлен параметр --size для procu2 и установлен лимит 15Мб по умолчанию для файлов на лечении (DEF-12464)
• Добавлена оптимизация и рефакторинг кода (DEF-10378, DEF-12196, DEF-12195)
• Улучшена работа деобфускатора (DEF-12459, DEF-12375)
• Поправлены небольшие баги (DEF-12408, DEF-12042)
• Удалена поддержка Windows (DEF-10389)

Изменения в версии 20.0507-1

• Изменение фильтрации файлов для upload job (DEF-12336)
• Улучшена работа деобфускатора (DEF-12306)
• Рефакторинг (DEF-12194)
• Поправлена ошибка в преобразовании имён файлов (DEF-12289)
• Добавлен CSV отчёт для procu2 (DEF-9615)

Изменения в версии 20.0429-1

• Улучшена работа деобфускатора (DEF-11884, DEF-12087, DEF-12154, DEF-12171, DEF-12171)
• Рефакторинг шаблонов и локализации (DEF-10381, DEF-10382)
• Поправлен go-wrapper (DEF-12038)
• Поправлен скрипт DataCollection (DEF-12039)
• Добавлены параметры --skip-system-owner и --skip-system-owner для finder (DEF-11811, DEF-11813)
• Добавлен отчет CSV для ai-bolit (DEF-9615)

Изменения в версии 20.0414-1

• Поправлен процесс лечения (DEF-11901)
• Поправлено использование общей памяти в go-wrapper (DEF-11739)
• Добавлена возможность исключать файлы из сканирования по общим правилам (DEF-11832)

Изменения в версии 20.0408-1

• Улучшена работа деобфускатора (DEF-11804)
• Добавлены sqlite и pdo зависимости
• Поправлен процесс сканирования (DEF-11823)
• Поправлена работа деобфускатора (DEF-11805)

Изменения в версии 20.0404-1

• Удалена зависимость zip.so из procu2.php (DEF-11757, DEF-11663)

Изменения в версии 20.0403-1

• Улучшена работа деобфускатора (DEF-11737, DEF-11706, DEF-11677, DEF-11642)
• Изменён формат отладочной информации (DEF-11545, DEF-11609)
• Добавлен пропуск маленьких файлов при сканировании (DEF-10576)
• Поправлено использование общей памяти в go-wrapper (DEF-11739)
• Поправлен деобфускатор (DEF-11645)
• Поправлен функционал --skip в фильтрах (DEF-11730)

Изменения в версии 20.0325-1

• Изменение зависимости на alt-php74-imunify (DEF-10971)

Изменения в версии 20.0323-1

• Улучшена работа деобфускатора (DEF-11523, DEF-11534, DEF-11541, DEF-11570)
• Поправлена поддержка UTF-16, UTF-32 в procu2 (DEF-11553)
• Поправлена поддержка UTF32-BOM (DEF-11552)
• Поправлена работа модуля фильтрации сканируемых файлов (DEF-11563, DEF-11606)
• Поправлен go-wrapper (DEF-11542, DEF-11543)

Изменения в версии 20.0312-1

• Улучшена работа деобфускатора (DEF-11495, DEF-11442)
• Улучшена работа модуля фильтрации сканируемых файлов (DEF-11406, DEF-11414)
• Добавлен бит для работы GO-wrapper (DEF-11530)
• Поправлена работа Detached mode при сканировании пустой папки (DEF-11502)
• Поправлен счётчик файлов в Resident mode (DEF-11508)

Изменения в версии 20.0225-1

• Поправлен баг при обработке симлинков (DEF-11377)
• Улучшена работа деобфускатора (DEF-11367, DEF-11395)
• Добавлен параметр --quiet = --quite (DEF-11243)
• Поправлен баг SIGBUS (DEF-11343)

Изменения в версии 20.0212-1

• Поправлен баг при сканировании бинарных файлов (DEF-11273)
• Улучшена работа деобфускатора (DEF-11180)

Изменения в версии 20.0207-1

• Добавлена новая возможность фильтра сканируемых файлов (DEF-10676)
• Поправлен баг в RapidScan (DEF-11212)
• Уменьшение операций чтения диска (DEF-10611)
• Поправлены баги и улучшена работа нормализации файлов (DEF-11124, DEF-10886)
• Поправлен баг в detached mode (DEF-11083)
• Улучшена работа деобфускатора (DEF-11142б DEF-10938, DEF-10895, DEF-10940)
• Поправлен баг лечения (DEF-10387)
• Изменён протокол передачи данных для CloudAssisted (DEF-10771)
• Добавлен скрипт для сбора статистики айболита после падения (DEF-10438)
• Улучшен процесс лечения (DEF-10849)

Изменения в версии 20.0116-1

• Исправлен вывод в syslog (DEF-10943)
• Улучшена работа деобфускатора (DEF-10818, DEF-10757, DEF-10728, DEF-10608, DEF-10603)
• Удалено правило для определения уязвимости elFinder (DEF-10450)
• Добавлен конвертер регулярных выражений для поиска в деобфусцированном коде (DEF-10729)
• Исправлены ошибки нормализации php кода (DEF-10896, DEF-10609, DEF-10686)
• Добавлен тест для проверки лечения уязвимости SMW-SA-13323-php.phish-6 (DEF-10740)
• Изменён алгоритм нормализации в procu2(приведён к виду айболита) (DEF-10717)
• Созданы Jenkins job для тестирования интеграции с IM360 (DEF-10573)

Изменения в версии 4.4.4

• Исправлено: Ошибка Segmentation fault на PHP 5.6 (DEF-10519)
• Исправлено: Не рабочие --addprefix --noprefix параметры (DEF-10460)
• Исправлено: Выключено определение уязвимостей, если CMSDetector не инициализирован (DEF-10414)
• Добавлена поддержка нового формата HashApi для CloudAssist (DEF-10469)
• Добавлены опции логгирования для отладки в резидентном режиме (DEF-10418)
• Улучшение работы деобфускатора

Изменения в версии 4.4.3

• Исправлено: Нахождение EICAR файла при работе в --smart режиме (DEF-10248)
• Исправлено: Ограничение размера файла для всех типов сканирования (DEF-10436)
• Улучшение работы деобфускатора

Изменения в версии 4.4.2

• Исправлено: айболит потребояет слишком много памяти (DEF-9582)
• Добавить информацию о подозрительных файлах в консольный отчёт (DEF-9659)
• Помечать исполняемые файлы как подозрительные (DEF-9818)
• Исправлено: Параметр --cloudscan-size не работает при сканировании одного файла (DEF-9928)
• Исправлено: procu2.php попадает в бесконечны цикл при обработке некоторых обфусцированных файлов (DEF-10216)
• Улучшение работы деобфускатора
• Испарвлены ошибки

Изменения в версии 4.4.1

• Исправлено: Bitrix: файл удаляется вместо лечения (DEF-10052)
• Исправлено: Неверное поведение при сканировании (DEF-9950)

Изменения в версии 4.4.0

• Реализован Resident Mode (DEF-9194)
• Добавлен Detached Scan (DEF-9169)
• SMART-scan выключен по умолчанию (DEF-9448)
• Добавлены timestamp-ы в результаты сканирования (DEF-9464)
• Оптимизированы методы чтения файлов (DEF-9486)
• Исправлено: отсутствует имя сигнатуры ("sn") в отчёте (DEF-9634)
• Улучшение работы деобфускатора
• Испарвлены ошибки

Изменения в версии 4.1.6

• Исправлено: Bitrix-файл удалён вместо лечения (DEF-10052)

Изменения в версии 4.1.5

• Исправлено: параметр --cloudscan-size работает неправильно (DEF-9928)
• Исправлено: PHPMailer неверно определяется как уязвимый (DEF-9859)

Изменения в версии 4.1.4

• Изменена папка для эвристической проверки с /var/www/.+/public_html/ на /var/www/

Изменения в версии 4.1.3

• Добавлен новый параметр --cloudscan-size (DEF-9763)

Изменения в версии 4.1.2

• Исправлены ошибки Rapid Account Scan
• Исправлена ошибка приводящая к потреблению большого кол-ва памяти

Изменения в версии 4.1.1

• Исправлена ошибка, при которой файлы без расширения пропускались при включённом SMART режиме (DEF-9373)

Изменения в версии 4.1.0

• Добавлен sha256 в отчете просканированных файлов (DEF-8047)
• Добавлена возможность просканировать первые N байт файла, если файл большой (DEF-8124)
• Поддержка \n и \r (и других допустимых символов) в именах файлов (DEF-8129)
• Запуск procu2.php с передачей сигнатуры в параметре (DEF-8231)
• Добавлен cloud assisted scan (DEF-8408)
• Добавлен RapidAccountScan режим (DEF-8620)
• Добавлена поддержка для suspicious (подозрительных) сигнатур (DEF-8708)
• Обнаружение ELF запускаемых файлов в домашней директории пользователя (DEF-8992)
• Улучшение работы деобфускатора
• Испарвлены ошибки

Изменения в версии 4.0.3

• Исправлено: Segmentation fault при сканировании (DEF-8985)
• Файлы Aibolit-а после установки должны иметь флаг "immutable" (DEF-9148)

Изменения в версии 4.0.2

• Исправлены ошибки

Изменения в версии 4.0.1

• Исправлены ошибки

Изменения в версии 4.0.0

• Улучшена работа деобфускатора
• Обновлены вирусные сигнатуры
• Исправлены ошибки

...

Изменения в версии 20181107

• Обновлены вирусные сигнатуры
• Добавлен параметр 'sn' в json отчет, который содержит строковое обозначение обнаруженной угрозы (вируса)

Изменения в версии 20181009

• Обновлены вирусные сигнатуры

Изменения в версии 20180912

• Исправлены ошибки
• Обновлены вирусные сигнатуры

Изменения в версии 20180830

• Работа с базами вредоносного кода во внешних файлах через параметр --avdb
• Обновлены вирусные сигнатуры

Изменения в версии 20180709

• Добавлен параметр --listing=stdin для получения списка файлов для сканирования из stdin
• Добавлен параметр --json-stdout для вывода результата сканирования в stdout
• Улучшена выдача сниппетов
• Удалены устаревшие разделы отчета
• Обновлены вирусные сигнатуры

Изменения в версии 20180627

• Добавлен параметр --listing=... для сканирования определенного списка файлов
• Добавлен параметр --no-html для отключения генерации отчета html
• Из отчета исключены предупреждения о скрытых файлах и ряде других устаревших проблемах
• Обновлены вирусные сигнатуры

Изменения в версии 20180616

• Улучшено отображение сниппетов вредоносного кода
• Обновлены вирусные сигнатуры

Изменения в версии 20180513

• Добавлен параметр --deobfuscate, который включает расшифровку известных алгоритмов обфускации php
• Обновлены вирусные сигнатуры

Изменения в версии 20180501

• Обновлены вирусные сигнатуры

Изменения в версии 20180419

• Обновлены вирусные сигнатуры

Изменения в версии 20180402

• Корректное определение версии CMS Drupal 8, 7, 6
• Отображение уязвимой версии Drupal (Drupageddon 2)
• Обновлены вирусные сигнатуры

Изменения в версии 20180325

• Параметр --user= для запуска сканера с правами пользователя
• В отчет --json_report добавлены параметры ошибок сканирования и публичных уязвимостей
• Исправлена ошибка нормализации php кода
• Обновлены вирусные сигнатуры

Изменения в версии 20180211

• Обновлены вирусные сигнатуры

Изменения в версии 20180124

• Обновлены вирусные сигнатуры

Изменения в версии 20180122

• Обновлена база вредоносных скриптов и файла исключений
• Исправлена ошибка создания временного файла со списком файлов для сканирования
• Оптимизированы сигнатуры
• В нормальном режиме сканирования проверяются только критичные файлы, в параноидальном - все

Изменения в версии 20171210

• Обновлена база вредоносных скриптов и файла исключений
• В параметр --scan= можно указать ., что означает - пустое расширение

Изменения в версии 20171116

• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171030

• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171019

• Улучшена выдача сниппетов вредоносного кода
• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171003

• Исправлено зависание на деобфускации некоторых файлов
• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170930

• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170925

• Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170904

• Обновлена база вредоносных скриптов и файла исключений
• Реализована деобфускация и расшифровка сниппетов в отчете

Изменения в версии 20170820

• Обновлена база вредоносных скриптов и файла исключений
• Исправлена ошибка в сигнатурах, замедляющая работу сканера

Изменения в версии 20170811

• Обновлена база вредоносных скриптов и файла исключений
• Исправлена ошибка при открытии сканера через веб

Изменения в версии 20170730

• vps_docroot.php показывает теперь только директории сайтов, которые существуют
• Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170703

• Исправлена ошибка в некоторых сигнатурах
• Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170626

• Добавлена оптимизация сигнатур
• Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170612

• Добавлен параметр --smart в командной строке для включения "умного" сканирования
• Обновлена база вирусных сигнатур и файлов исключений

Изменения в версии 20170605

• новые вирусные базы
• в json отчете добавлены уязвимости

Изменения в версии 20170529

• добавлено детектирование уязвимого файла bx_1c_import.php

Изменения в версии 20170527

• новые сигнатуры
• исправлено текстовое сообщение в отчете
• последний параметр в командной строке --eng переключает интерфейс на английский
• пополнен список доверенных скриптов

Изменения в версии 20170519

• исправлена кодировка в отчете

Изменения в версии 20170504

• новые вирусные сигнатуры
• внешние php-обработчики (плагины для сканера): начало работы, завершение сканирования, прогресс, ошибки
• более удобный формат отображения данных в текстовой версии отчета
• отслеживание процесса сканирования через внешний json-файл
• отчет сканера в json-формате

Изменения в версии 20170326

• новые вирусные сигнатуры

Изменения в версии 20170301

• переработана база сигнатур, чтобы уменьшить число ложных срабатываний
• пополнена база сигнатур

Изменения в версии 20170217

• добавлен детект версии PHPMailer в Joomla
• исправлена проверка версии в vBulletin (фикс от kerk)
• ускорение за счет "умного сканирования" кэш-файлов
• уменьшено число ложных срабатываний
• новые сигнатуры и база whitelist

Изменения в версии 20170110

• обновлена база данных вредоносных скрипт и список исключений
• детектируется уязвимый скрипт PHPMailer

Изменения в версии 20161225

• обновлена база данных вредоносных скрипт и список исключений
• добавлена оптимизация процесса сканирования в "smart" режиме: повышение скорости и минимизация ложных срабатываний
• изменен механизм исключения файлов из списка .adirignore (теперь можн исключать не только каталоги, но и файлы)

Изменения в версии 20161127

• обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20161119

• обновлена база данных вредоносных скрипт и список исключений
• исправлены сниппеты в результатах сканирования
• пропущенные php файлы больше 600Кб отображаются в "красной секции" отчета

Изменения в версии 20161110

• обновлена база данных вредоносных скрипт и список исключений
• исправлена ошибка в vps_docroot.php скрипте

Изменения в версии 20161104

• обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20161024

• обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20160817

• обновлена база данных вредоносных скрипт и список исключений
• удалены из отчета списки двойных расширений

Изменения в версии 20160720

• добавлены новые сигнатуры вредоносного кода и файлы "белого списка"

Изменения в версии 20160701

• добавлены новые сигнатуры вредоносного кода и файлы "белого списка"

Изменения в версии 20160515

• добавлены новые сигнатуры вредоносного кода и файлы "белого списка"
• добавлены файлы с расширением .php7 и .pht в список обязательных для сканирования

Изменения в версии 20160324

• добавлены новые сигнатуры вредоносного кода и файлы "белого списка"

Изменения в версии 20160312

• исправлена сортировка результатов сканирования в отчете (группировка файлов по сигнатурам)
• добавлены новые сигнатуры вредоносного кода и файлы "белого списка"

Изменения в версии 20160305

• добавлен параметр --scan для проверки только определенного списка расширений
• пополнена база данных "белого списка" скриптов
• добавлены новые сигнатуры вредоносных скриптов
• исправлена ошибка обработки "белого списка" для фишинговых страниц

Изменения в версии 20160227

• пополнена база данных "белого списка" скриптов
• добавлены новые сигнатуры вредоносных скриптов

Изменения в версии 20160219

• выявлена ошибка работы со списком файлов-исключений (AI-WHITELIST.db), необходимо установить short_open_tag=on (php -d short_open_tag=on ai-bolit.php ...)
• добавлены новые сигнатуры вредоносных скриптов
• добавлены новые CMS в "белый список"

Изменения в версии 20160202

• новый механизм исключений (белый список файлов CMS): AIBOLIT-WHITELIST.db со стойкими хэшами и новыми CMS
• новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
• исправлена ошибка конвертации из UTF-16 кодировок
• вывод статуса при ошибке обработки файла (слева от имени файла)
• определение уязвимости в rsform
• исправлены пути при замене префиксов addprefix/noprefix
• изменены параметры memory_limit и уровня вложенности pcre

Изменения в версии 20151227

• новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
• новый формат текстового отчета
• определение уязвимых скриптов в CMS Joomla
• исправлена ошибка замены префикса адреса

Изменения в версии 20151206

• новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
• исправлен ряд ошибок в работе исключений
• добавлено определение уязвимого скрипта Joomla com_adsmanager

Изменения в версии 20151113

• новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
• изменение базы данных сигнатур, минимизация ложных срабатываний в обычном режиме сканирования
• новые aknown файлы для joomla и wordpress
• исправлены ошибки формирования отчета

Изменения в версии 20151008

• контроль целостности (изменений в файлах)
• новые сигнатуры вирусов
• изменение формата отчета (блок "реклама, ссылки, дорвеи")
• новые aknown файлы для joomla и wordpress

Изменения в версии 20150901

• режим "умного сканирования": ускоренная проверка медиа-файлов и документов
• удаление паролей из конфигурационных файлов при помещении в архив карантина
• регистронезависимый параметр --skip (расширения jpg и JPG - одно и тоже)
• параметр --with-2check для работы с файлом AI-DOUBLECHECK.php
• новые сигнатуры вирусов и хакерских скриптов
• exit code зависит от результатов сканирования
• новые aknown файлы для wordpress и joomla
• замена пути в отчете при сканировании
• запуск нескольких экземпляров сканера из одного каталога

Изменения в версии 20150803

• создания архива вредоносных скриптов "карантин"
• обнаружение обфусцированных и зашифрованных вредоносных скриптов
• новые сигнатуры хакерских скриптов и вирусов
• ускорение сканирования
• запуск произвольной команды по окончании сканирования
• новые сниппеты бинарных файлов в отчете

Изменения в версии 20150703

• исправлена ошибка в регулярном выражении, которая в некоторых случаях могла аварийно завершать сканер
• добавлен карантин
• добавлена поддержка внешних сигнатур

Изменения в версии 20150701

• новые сигнатуры
• сканирование неограниченного числа файлов
• сканирование в один проход (не формирует список файлов для сканирования и не показывает оставшееся время)
• оптимизация сканирования под ОС Windows
• выполнение команды после завершения сканирования
• исправление ошибки обхода символических ссылок

Изменения в версии 20150615

• новые сигнатуры
• новые aknown файлы для Wordpress, Joomla, MODx
• добавлена опция исключения расширений из списка для сканирования
• оптимизирован процесс проверки файлов
• добавлена проверка на минимальную версию PHP для запуска
• исправлена работа параметров
• увеличено число файлов, определяемых как дорвей

Изменения в версии 20150508

• новые сигнатуры
• исправлена ошибка оптимизированного поиска
• исправлена ошибка сканирования через браузер
• добавлены aknow файлы для wordpress, joomla, magento

Изменения в версии 20150329

• новые сигнатуры
• изменен процесс сканирования и отчет для блока "предупреждения"

Изменения в версии 20150319

• добавлены новые опции в скрипт: выбор файла .aknown для сканирования и установка типа сканирования (обычный, эксперт, параноидальный)
• оптимизирована работа с файлами
• исправлены ошибки определения некоторых уязвимых скриптов

Изменения в версии 20150317

• новый дизайн отчета
• детектирование уязвимых скриптов (timthumb, uplodify, fckeditor, phpmyadmin и др.)
• переработан и оптимизирован алгоритм сканирования
• появилась возможность быстрой замены дизайна отчета (для партнеров с коммерческой лицензией)
• добавлены новые whitelist файлы для Wordpress, Joomla, Drupal, DLE, Bitrix
• добавлены новые сигнатуры

Изменения в версии 20150104

• большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
• белые списки aknown для Wordpress, Joomla

Изменения в версии 20141013

• большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
• белые списки aknown для Wordpress 4.0, Joomla 2.5.26 и 3.3.6, opencart 1.5.6.4, ocstore 1.5.5.1.2

Изменения в версии 20140901

• пополнена база новых сигнатур вирусов, шеллов, дорвеев
• улучшена производительность сканирования
• добавлены несколько эвристик для поиска бэкдоров

Изменения в версии 20140810

• большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
• отдельная секция с обнаруженными фишинговыми страницами
• отображение номера строки, в котором обнаружен вредонсоный код (в начале сниппета)
• генерация отчета по списку критических замечаний в тестовом формате (при установленной опции --list или -l)
• поддержка кодировки utf8 и utf16 при сканировании
• небольшая оптимизация производительности
• исправлены ошибки в детектировании hex/oct последовательностей
• белые списки aknown для Wordpress 3.9.2, Joomla 2.5.24/3.3.3, Drupal 7.31, InstantCMS 1.10.4 / 2.1.1,
• информационные блоки про список подозрительных файлов и пустых ссылок отключены по-умолчанию

Изменения в версии 20140612

• Переработана база сигнатур, минимизировано число ложных срабатываний
• Три режима работы "обычный" (AI_EXPERT = 0), "эксперт" (AI_EXPERT = 1), "параноидальный" (AI_EXPERT = 2)
• Добавлены .aknown файлы для wordpress 3.9.1, joomla 3.3.1 / 2.5.21, dle 10.2
• Традиционно новые сигнатуры вирусов и хакерских скриптов
• Исправлено несколько ошибок, оптимизирована работа скрипта

Изменения в версии 20140417

• Удобный интерфейс для работы с отчетом (для данной возможности нужно иметь подключение к интернету во время просмотра отчета):
  • доступны фильтр/поиск по подстроке
  • доступны сортировка по типам сигнатур, по дате и времени, по размеру, по контрольной сумме
  • доступно скрытие строк (файлов) с одинаковыми сигнатурами
• Точное определение версий 13 типов cms (см. в конце отчета)
• Добавлены .aknow файлы для wordpress 3.9, drupal 6.28, 6.31, 7.27, 7.4, 7.5, 7.6, 7.7, 8.0.alpha, 9.x.dev
• Добавлен файл tools/aknow_producer.php, позволяющий генерировать свои .aknown файлы.
• По-умолчанию сделан режим "Эксперт". Кого пугает много "красного цвета", можно перевести скрипт в режим "экспресс-сканирование" согласно инструкции
• Традиционно новые сигнатуры вирусов и хакерских скриптов

Изменения в версии 20140303

• Изменено форматирование отчета, добавлены счетчики найденных вредоносов
• Добавлены .aknown файлы для Wordpress 3.8.1, DLE 10.1, Bitrix 14, Joomla 2.5.18 и Joomla 3.2.2
• Новые сигнатуры
• Уменьшено кол-во ложных срабатываний для некоторых сигнатур

Изменения в версии 20140125

• Новые сигнатуры
• Уменьшено кол-во ложных срабатываний для некоторых сигнатур

Изменения в версии 20140103

• Новые сигнатуры
• работа с UTF8 файлами
• исправлена ошибка в декодировщике
• режим работы: "обычный" и "эксперт"
• добавлены .aknown файлы для wordpress 3.7.1 / 3.8, modx 2.2.8, joomla 2.5.17 / 3.2.1

Изменения в версии 20131025

• Новые сигнатуры шеллов и вирусов
• Уменьшено кол-во ложных срабатываний
• Новые .aknown файлы
• Небольшое изменение в отчете относительно отображения двойных расширений

Изменения в версии 20130910

• Исправлена ошибка ложных срабатываний

Изменения в версии 20130909

• Добавлены новые сигнатуры вирусов и шеллов
• Добавлены .aknown файлы для Joomla 2.5.14 / 3.1.5, Wordpress 3.6
• Добавлены новые сигнатуры в .aignore файл

Изменения в версии 20130723

• Добавлены новые сигнатуры вирусов и шеллов
• Добавлены .aknown файлы для Bitrix, Joomla, Wordpress, DLE

Изменения в версии 20130609

• Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
• Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге.
• Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

Изменения в версии 20130519

• Добавлены новые сигнатуры вирусов и шеллов
• Детектирование двойных расширений .php.<что-то>
• Добавлен аргумент -j (--file) для сканирования конкретного файла
• Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8

Изменения в версии 20130401

• Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад)
• Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме)
• Двухязыковый интерфейс (русский, английский)
• Новые сигнатуры
• Добавлены файлы aknown для Joomla 2.5.9
• Добавлены файлы в .aignore и адреса в .aurlignore
• Много всяких мелких улучшений в алгоритмах определения вредоносного кода

Изменения в версии 20130201

• новые сигнатуры
• файл отчета запрещен к индексированию
• в имени файла отчета добавляется случайное число для защиты от подбора имени
• добавлен .aknown файл для Wordpress 3.5.1

Изменения в версии 20130122

• новые сигнатуры, добавлено несколько исключений из ложных срабатываний
• новые доверенные файлы от cms: .aknown.* (instantcms, invision power board)
• ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память)
• исправлена ошибка с подсчетом кол-ва сканируемых файлов
• разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js
• отображается список скрытых файлов (начинающихся с "точки")

Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

• полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)
• добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)
• добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)
• много новых и свежих сигнатур шеллов, вирусов и дорвеев
• исправлена ошибка поиска невидимых ссылок
• отображение в отчете найденных символических ссылок
• отображение в консоли статистики по найденным проблемам

Изменение в версии 20121106

• новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
• автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
• поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
• исправлен Warning с ereg()

Изменение в версии 20121014

• новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
• игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
• добавился блок показа конфигурации PHP при запуске из браузера
• реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli.
• улучшена обработка внешних include
• новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
• улучшенное отображение прогресса сканирования в командной строке
• добавлен режим отладки скрипта DEBUG_MODE

Изменение в версии 20120902

• обновлена база сигнатур
• часть директорий можно исключить из сканирования, добавив их в .adirignore файл (поддерживаются фрагменты и метасимволы регулярных выражений)
• улучшен алгоритм поиска подозрительных файлов с сигнатурами <?php и <%
• добавлена возможность запуска полного сканирования из браузера через аргумент "&full"
• добавлен поиск исполняемых файлов linux в сканируемых папках

Изменение в версии 20120729

• обновлена база сигнатур
• изменен алгоритм детектирования подключений внешних скриптов

Изменение в версии 20120715

• снипеты у шеллов
• обнаружение вставок вида include 'http://hckerexternal.site.ru/1.txt'
• улучшена проверка наличия кода php в непхп файлах и поиск base64 последовательностей
• новые сигнатуры
• исправление ошибок

Изменение в версии 20120701

• улучшена обработка невидимых ссылок
• новые сигнатуры

Изменения в версии 20120628

• ускорена работа с файлами
• новые сигнатуры

Изменения в версии 20120624

• небольшие исправления
• новые сигнатуры

Изменения в версии 20120623

• добавилось несколько десятков новых сигнатур шеллов
• улучшена обработка невидимых ссылок
• теперь по-умолчанию при запуске из командной строки выполняется сканирование всех файлов на сигнатуры

Изменения в версии 20120622

• появился список игнорируемых файлов .aignore
• добавлена возможность просмотра файла
• добавлены сигнатуры шеллов
• есть возможность скрыть в отчете показ директории открытых на запись
• в подозрительные добавлены подстроки, появляющиеся в обфусцированных скриптах
• добавлена проверка на наличие хакерских тулзов для FreeBSD
• несколько багфиксов

Изменения в версии 20120614

• добавлены 3 сигнатур шеллов
• добавлена проверка на PHP CGI Exploit в .htaccess

Изменения в версии 20120613

• добавлены 6 сигнатур шеллов
• добавлены 3 сигнатуры JS вирусов
• добавил вызов set_time_limit(0) в скрипт
• исправлена работа с расширениями для php
• учитывается .phtml при проверке на сигнатуры, добавлено расширение .khtml
• добавлено детектирование auto_append_file/auto_prepend_file в .htaccess
• вывод списка найденных невидимых ссылок
• добавил определение stripos, если ее нет в PHP
• исправлено несколько мелочей

Изменения в версии 20120512

• добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур
• три новых сигнатуры JS вируса
• одна сигнатура шелла
• добавлена проверка .phtml и .shtml по-умолчанию
• исправлена ошибка отображения файлов с невидимыми ссылками

Изменения в версии 20120430

• новые сигнатуры вирусов и шеллов
• исправлена ошибка сканирования списка файлов
• исправлена ошибка подсчета файлов в каталоге для вычисления дорвеев
• корректная работа с русскими сообщениями при работе через веб и при запуске из командной строки
• выставляется принудительно кодировка utf-8
• добавлены сниппеты для javascript вирусов и некоторых видов редиректа в .htaccess
• немного улучшен дизайн отчета
• сообщение о найденных больших файлах выдается только при полном сканировании

Изменения в версии 20120422

• добавлен режим работы из командной строки "php ai-bolit.php --help"
• при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
• красивый размер файлов
• затраченное время на сканирование
• ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)

Изменения в версии 20120418

• новые сигнатуры шеллов
• новые сигнатуры javascript вирусов
• добавлена проверка на стартовые сигнатуры PHP в не-php файлах. Например, когда встраивают PHP код в .htaccess.
• в предупреждениях показывается фрагмент кода и маркер найденной подозрительной последовательности

Изменения в версии 20120414

• переработан и оптимизирован алгоритм обхода папок и сканирования
• функция scandir заменена стандартной opedir/readdir

Изменения в версии 20120413

• добавлена сигнатура спам-скрипта
• вместе с файлами отображается дата и время создание файла
• файлы .js добавлены к списку сканируемых обязательно
• добавлена эвристика для анализа троянов в javascript
• добавлена проверка кол-ва директорий дорвеев
• запуск с паролем из браузера и без пароля из командной строки

Изменения в версии 20120411

• добавлены проверки на Mainlink, SetLinks, Liex
• добавлены 15 новых шелл-сигнатуры
• добавлены проверки на вредоносный код, инжектируемый в Joomla
• сигнатуры закрыты в base64, чтобы не ругались антивирусы
• добавлена проверка на актуальность версии (актуальность = 1 неделя)
• добавлен блок "Donation"

Изменения в версии 20120410

• добавлены сигнатуры шести новых шеллов
• проверка на то, что текущая директория доступна для чтения

Изменения в версии 20120409

• добавлена задержка при сканировании SCAN_DELAY (можно увеличить в скрипте)
• добавлены новые сигнатуры
• закомментированные строки в .htaccess не учитываются при анализе
• добавлены расширения .tpl, .inc в список обязательных для сканирования
• добавлена кодировка windows-1251

Изменения в версии 20120408

• расширена база сигнатур
• анализ кода продажных ссылок на сайте
• предупреждение о большом кол-ве .php или .html файлов в каталоге
• причесал UI
• анализ .htaccess на предмет редиректов
• анализ .htaccess на предмет дорвеев

Более старые изменения

• здесь летопись обрывается...