Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#51

28.06.2022 16:21:32

Цитата
написал: При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Проверьте права на папки.

Пользователь 35902

Заглянувший

Сообщений: 18 Баллов: 2 Регистрация: 15.01.2009

#52

28.06.2022 16:22:12

Цитата
Александр Мусий написал: При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Предположу, что у вас в архиве файл restore.php от другого пользователя, например root, остальной сайт от bitrix. Вот скрипту и не хватает прав. Файл не нужен, вы его в любой момент можете скачать с сайта битрикса. Восстановление насколько я понимаю продолжается дальше игнорируя ошибку или останавливается?

Пользователь 431805 Постоянный посетитель Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016	#53 28.06.2022 16:22:51 Чуть исправленный вариант для вставки перед require, если я правильно понял идею if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); }

Пользователь 104919

Заглянувший

Сообщений: 10 Регистрация: 14.03.2012

#54

28.06.2022 16:23:45

Цитата
написал: Восстановление насколько я понимаю продолжается дальше игнорируя ошибку или останавливается?

Восстановление не запускается. Да, дело в отсутствии прав у битрикса, как выше писали. Надо права восстанавливать

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#55

28.06.2022 16:24:54

Цитата

написал:

Цитата
написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Тот же IP, думаю все случаи были с него.

iptables -A INPUT -s 185.180.199.209 -j DROP

и вас больше не побеспокоят с этого IP :-)

Пользователь 5558772

Заглянувший

Сообщений: 2 Регистрация: 10.11.2021

#56

28.06.2022 16:25:27

Цитата
написал: У нас заражены сразу десяток проектов на разных хостингах с разными версиями Битрикс.

У вас были последние обновления Битрикс?

Пользователь 233608 Постоянный посетитель Сообщений: 140 Баллов: 22 Регистрация: 24.12.2013	#57 28.06.2022 16:26:10 А кто-нибудь разобрался как лечить редактирование пользователя через админку? "[Bitrix\Main\NotSupportedException] Crypto is not available. (150)" при открытие страницы пользователя

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#58

28.06.2022 16:28:09

Цитата

3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:

В файл /bitrix/tools/vote/uf.php после required:

Код

  // После required добавляем: 
 $request   = \Bitrix\Main\Context::getCurrent()->getRequest();
  if  (  $request  ->isPost()) {
    CHTTP::SetStatus(  "404 Not Found"  );
    @define(  "ERROR_404"  ,  "Y"  );
      die  ();
}

В файл /bitrix/tools/html_editor_action.php после required:

Код

  // После required добавляем: 
 $request   = \Bitrix\Main\Context::getCurrent()->getRequest();
  if  (  $request  ->isPost()) {
    CHTTP::SetStatus(  "404 Not Found"  );
    @define(  "ERROR_404"  ,  "Y"  );
      die  ();
}

(остальное сейчас дополню)

Смысла добавлять ПОСЛЕ require нет никакого, весь код уже выполнится.

Поэтому, либо добавлять непосредственно в модуль этот код, либо как я написал чуть выше ПЕРЕД require чистым php

Пользователь 6393764 Заглянувший Сообщений: 1 Регистрация: 28.06.2022	#59 28.06.2022 16:40:52 Подскажите, что нужно сделать\удалить, чтобы не взломали еще не тронутые сайты с не обновлённым ядром? Удаляем 2-ух агентов и все?

Пользователь 5558772

Заглянувший

Сообщений: 2 Регистрация: 10.11.2021

#60

28.06.2022 16:48:34

Цитата
написал: Подскажите, что нужно сделать\удалить, чтобы не взломали еще не тронутые сайты с не обновлённым ядром? Удаляем 2-ух агентов и все?

Комплекс мер описанных выше. Проверьте есть ли такие файлы, проверьте права доступа к папкам. Забаньте эти 2 IP. Если не пользуетесь модулем vote, то выключите его. Код как сделать чуть выше. Тут четкой инструкции никто не даст (по крайней мере пока)

Пользователь 77927 Заглянувший Сообщений: 8 Регистрация: 07.12.2010	#61 28.06.2022 16:49:41 Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#62

28.06.2022 16:56:39

Цитата
написал: Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Ну, вот вариант, что у меня старая версия Битрикс и не получается ее обновить. Тут люди и ищут варианты закрыть дырку, без обновления siteupdate и модуля.

Пользователь 145697

Посетитель

Сообщений: 30 Баллов: 5 Регистрация: 13.10.2012

#63

28.06.2022 17:04:40

Цитата
написал: Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Насколько внимательно вы читали остальные сообщения в этой ветке? ломают не только через модуль vote. Как минимум еще и через редактор.

Пользователь 44828

Эксперт

Сообщений: 1288 Баллов: 226 Регистрация: 01.07.2009

#64

28.06.2022 17:19:28

Натолкнулся на эту тему и решил проверить наш сайт, итог(вдруг кому пригодится) такой:
- началось всё не сегодня, а 27/Jun/2022:06:11
- использовались запросы к /bitrix/tools/composite_data.php, /bitrix/tools/html_editor_action.php, /bitrix/admin/index.php, /bitrix/tools/vote/uf.php

Пользователь 2340153

Заглянувший

Сообщений: 5 Регистрация: 11.12.2018

#65

28.06.2022 17:41:16

/bitrix/tools/composite_data.php тут были GET запросы, вероятно чтобы по таймзоне только российские сайты нае#$№ть
bitrix/admin/index.php этот врятли как-то можно использовать для иньекций.

/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
В этих от греха ставить лучше die() до выяснений

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#66

28.06.2022 17:44:04

Цитата

Алексей Быстрицкий написал:
/bitrix/tools/composite_data.php тут были GET запросы, вероятно чтобы по таймзоне только российские сайты нае#$№тьbitrix/admin/index.php этот врятли как-то можно использовать для иньекций./bitrix/tools/vote/uf.php/bitrix/tools/composite_data.phpВ этих от греха ставить лучше die() до выяснений

И еще в /bitrix/tools/html_editor_action.php

Пользователь 2340153

Заглянувший

Сообщений: 5 Регистрация: 11.12.2018

#67

28.06.2022 17:45:03

Цитата
написал: И еще в /bitrix/tools/html_editor_action.php

Да, спасибо опечатался

Пользователь 8629

Постоянный посетитель

Сообщений: 108 Баллов: 10 Регистрация: 18.01.2007

#68

28.06.2022 17:46:57

Цитата

написал:

Цитата

Код

    // После required добавляем:  
  $request    = \Bitrix\Main\Context::getCurrent()->getRequest();
   if   (   $request   ->isPost()) {
    CHTTP::SetStatus(   "404 Not Found"   );
    @define(   "ERROR_404"   ,   "Y"   );
       die   ();
}

В файл /bitrix/tools/html_editor_action.php после required:

Код

    // После required добавляем:  
  $request    = \Bitrix\Main\Context::getCurrent()->getRequest();
   if   (   $request   ->isPost()) {
    CHTTP::SetStatus(   "404 Not Found"   );
    @define(   "ERROR_404"   ,   "Y"   );
       die   ();
}

(остальное сейчас дополню)

Так?

Код

$request  = \Bitrix\Main\Context::getCurrent()->getRequest();
if ( $request ->isPost()) {
    CHTTP::SetStatus( "404 Not Found" );
    @define( "ERROR_404" , "Y" );
    die ();
}

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Пользователь 6393072 Заглянувший Сообщений: 2 Регистрация: 28.06.2022	#69 28.06.2022 17:52:34 Подскажите, возможно ли восстановить ключ от облака bitrix? резервная копия в нем

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#70

28.06.2022 17:53:55

Цитата
Александр Ермакович написал: Так?Код$request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); } require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Вот так, у вас же ядро не подключается и классы битрикса не получится использовать до require

Код
if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); } require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Пользователь 96606

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 28.10.2011

#71

28.06.2022 18:04:57

Цитата
написал: А кто-нибудь разобрался как лечить редактирование пользователя через админку? "[Bitrix\Main\NotSupportedException] Crypto is not available. (150)" при открытие страницы пользователя

Нужно в bitrix/.settings.php блок "crypto" вернуть. этот блок содержит параметр "crypto_key" - его отсутствие эту ошибку порождает

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#72

28.06.2022 18:32:43

Подскажите, в VMBitrix на уровне nginx можно запретить инъекции методом POST сразу для всех /ext_www/ сайтов в уязвимые файлы?
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php

Дело в том, что очень много виртуалок vmbitrix, и на каждой достаточное количество сайтов.

Поэтому было бы очень полезным это решение, в какой общий конфигурационный файл niginx в какую секцию что прописать, чтобы применилось сразу для всех сайтов.

Пользователь 5064076 Заглянувший Сообщений: 7 Регистрация: 01.03.2021	#73 28.06.2022 18:33:02 Из upload еще нужно папку tmp удалить - туда эта "х..." первоначально закачалась

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#74

28.06.2022 18:42:49

Цитата

написал:
Подскажите, в VMBitrix на уровне nginx можно запретить инъекции методом POST сразу для всех /ext_www/ сайтов в уязвимые файлы?
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php

Дело в том, что очень много виртуалок vmbitrix, и на каждой достаточное количество сайтов.

Поэтому было бы очень полезным это решение, в какой общий конфигурационный файл niginx в какую секцию что прописать, чтобы применилось сразу для всех сайтов.

выше, на 1 странице было решение:

location = /bitrix/tools/vote/uf.php {
if ($request_method = POST) {
return 404;
}
try_files return @php;
}

смотрите, что у вас в /etc/nginx/sites-available/

и прописываете в *.conf

прописывается в секцию server { }

посмотрите, наверняка у вас там есть уже секции с location

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#75

28.06.2022 18:53:26

Цитата
написал: выше, на 1 странице было решение: location = /bitrix/tools/vote/uf.php { if ($request_method = POST) { return 404; } try_files return @php;}смотрите, что у вас в /etc/nginx/sites-available/и прописываете в *.confпрописывается в секцию server { }

Получается что для каждого сайта отдельно нужно прописывать.
Есть ли решение сразу для всех ext_www сайтов в VMBitrix? Чтобы в один конфигурационный файл nginx прописать, и для всех сайтов бы применилось.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером