Подозрение в том, что среди тысячи клиентов есть раздолбай с протухшими CMS, суперсильными паролями admin/qwerty и пр. «Руками» грепать как-то уже неприлично. И главное - для отличия от обфускации
1) Отсутствием эвристического анализа
2) Отсутствием вменяемого способа исключить из сканирование папку или файл
3) Большим числом ложных срабатываний
4) Неумной ресурсоёмкой тактикой проверки (после однократной проверки разумно было бы проверять только то, что изменилос с последнего сканирования)
5) Необучаемостью (только обновлять антивирусные базы)
6) Неумением работать в фоне
7) Неумением слать сообщения об обнаруженных бяках
8) Неумением лечить (99% бяки весьма тупо добавляется в начало или конец файла)
ТС, обрати на этот инструмент внимание. В свое время помого найти около тысячи! зловредов на сайте, в котором два года провисел дырявый модуль джумлы. Прада сайту это не сильно помогло.
Смотря какой самопис. У нас основная часть вирусни была по типу - зашифрованный вредоносный код в файле с именем .jpg и подобных, а в тело сайта встраивается вызов такого файла, его дешифровка и исполнение.
Для массовых вредоносов, что лезут на сайт через дырявые модули CMS и для первичного анализа инструмент вполне подойдет. Для более индивидуальных проблем, возможно, что нет. Я не спец. в таких вопросах.
1. есть эвристический анализ, сканирует не только по базе сигнатур
2. папка или файл исключаются добавлением строки в файл .adirignore
3. используйте вайтлистинг с файлами .aknown, срабатываний будет на порядок меньше
4. ai-bolit - тул, который нужен для сканирования скомпрометированных ресурсов, он не антивирус, не файрволл и не выполняет контроль целостности. Поэтому не хранит базу просканированных файлов. Но данная задача легко решается, если получить список измененных файлов, так как он умеет выборочно сканировать указанный список.
5. базы дополняются универсальными правилами, которые работают на базе регэкспов
6. чтобы сканер работал в фоне, запустите его как фоновый процесс, будет работать в фоне. Какое это имеет отношение к скрипту ?
7. он умеет отсылать отчет на email или складывать его в txt/html формат. Мониторинг он не делает, это сканер.
8. это сканер, не антивирус, его задача - детектировать вредоносный и подозрительный код в файлах. Все хотели бы, чтобы одной кнопкой скрипт лечил сайт, но после лечения нескольких тысяч сайтов, могу уверенно заявить, что есть огромное число нюансов (на хостинге, в скриптах), то в промышленных масштабах сделать лечащий модуль для сайтов весьма нетривиальная задача. Код встраивается не только в начало или в конец. Конечно, когда сайтов 10-20 и они все ваши, то лечение сделать можно даже банальным откатыванием до предыдущих версий или на основе сохраненных копий при контроле целостности. Но в промышленных масштабах (универсальную) лечилку сделать вряд ли получится.