Разработчикам

Взломаны сайты в честь дня конституции украины

Пользователь 93386 Эксперт Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011	#801 03.07.2023 12:54:33 Скорее всего хостер автоматом ставит. На Русониксе в nginx прописывают автоматом похожие инструкции если стоит прям не самые самые последние обновления Битрикс

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#802

04.07.2023 16:58:09

На что еще обратить внимание:

1. htaccess

В папке upload файл htaccess c эталонного сайта в корне сайта должна иметь вид:

Код

<IfModule mod_mime.c>
   <Files ~ \.(php|php3|php4|php5|php6|php7|phtm|phtml|pl|asp|aspx|cgi|dll|exe|shtm|shtml|fcg|fcgi|fpl|asmx|pht|py|psp|rb|var)>
      SetHandler text/plain
      ForceType text/plain
   </Files>
</IfModule>
<IfModule mod_php5.c>
   php_flag engine off
</IfModule>

На сайте после вирусной атаки имел вид:

Код

<IfModule mod_mime.c>
   RemoveHandler      .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
   AddType text/plain .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
                 
       
</IfModule>
<IfModule mod_php5.c>
   php_flag engine off
</IfModule>

Техподдержка Битрикс порекомендовала поменять.

2. Файлы .access.php
Могут содержать разрешения на запись на несуществующую группу.

3. В корне сайта вирусные файлы с именами:
.500.php
content.php

4. Внутри папок встречаются вирусные скрипты с именами в виде абракадабры
/bitrix/components/bitrix/main.calendar/
/bitrix/components/bitrix/main.auth.changepasswd/

5. В папке /bitrix/admin
маскируется под нормальный файл
blog_lothsome.php
Такого файла не должно быть, вирусное содержание.

Хорошо все ищется антивирусным сканнером с маркетплейса, кроме файлов htaccess и access

Пользователь 93386

Эксперт

Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011

#803

05.07.2023 08:34:19

Цитата
написал: Хорошо все ищется антивирусным сканнером с маркетплейса, кроме файлов htaccess и access

модуль поиск троянов с маркета вроде и файлы Htaccess умеет анализировать - у него там отдельная страница проверки есть.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#804

05.07.2023 09:07:31

Цитата
написал: модуль поиск троянов с маркета вроде и файлы Htaccess умеет анализировать - у него там отдельная страница проверки есть.

Похоже, что не нашел. Я проверял и htaccess. Можно разработчикам сообщить, чтобы эту угрозу тоже включили в проверку

Пользователь 47602

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009

#805

07.07.2023 16:09:44

Цитата
написал: Htaccess умеет анализировать - у него там отдельная страница проверки есть.

у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#806

07.07.2023 16:16:21

Цитата

написал:

Цитата
написал: Htaccess умеет анализировать - у него там отдельная страница проверки есть.

у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

Значит там реально есть проблема, проверьте вручную - сверьте с эталоном

Пользователь 93386

Эксперт

Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011

#807

07.07.2023 16:42:16

Цитата
написал: у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

скорее всего вылет по таймауту, возможно просто файлов очень много, попробуйте увеличить таймаут php

Пользователь 24187

Заглянувший

Сообщений: 7 Баллов: 1 Регистрация: 03.05.2008

#808

07.07.2023 16:51:19

Товарищи, у кого-то есть проблемы с Русониксом (rusonyx.ru | caravan.ru | zenon.net | infobox.ru)?
Ограничили post запросы из-за чего не работает загрузка в инфоблоки.
Со своей стороны внесли изменения по мотивам https://www.cyberok.ru/docs/CyberOK-bitrix_web_1.pdf . К upload.php ограничили доступ по IP.
Но они не хотят снимать блокировку и Требуют обновить Битрикс до актуальной версии.

Пользователь 6537570

Постоянный посетитель

Сообщений: 77 Баллов: 14 Регистрация: 10.10.2022

#809

07.07.2023 17:36:22

Владимир Потапов, А какой выход видите? Тут либо обновить битрикс до актуальной версии и спать спокойно или же менять хостинг который не будет без ведома пользователя вносить какие-либо изменения. А лучше сразу оба пункта.

Пользователь 93386

Эксперт

Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011

#810

10.07.2023 10:28:44

Цитата
написал: Но они не хотят снимать блокировку и Требуют обновить Битрикс до актуальной версии.

уже столкнулся. Блокировка прописывается в nginx и через Plesk панель эти ограничения спокойно можно закоментировать.
Важно не удалять, а именно комментировать - чтобы робот их не записывал повторно.
Ну а так конечно уже проекты свои перевожу на новую версию PHP и обновляю Битрикс

Пользователь 13618

Эксперт

Сообщений: 1333 Баллов: 118 Регистрация: 05.04.2011

Сертифицированный партнер

#811

26.07.2023 04:36:27

тут где то "пролетал" скриптик блокировки на уровне фаервола по списку айпишников "as-ban" вроде ...
поиском не находит

отбой - нашел
страница 28

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1333 Баллов: 118 Регистрация: 05.04.2011

Сертифицированный партнер

#812

26.07.2023 04:58:28

коллеги, в плане разгрузки нагрузки на сервер - может кто нить ещё что юзает?
поделитесь наработками если не жалко

я вот еще блэк лист юзернеймов юзаю для nginx - всякую шушору отсекаю
(просто блок с явно прописанными ботами)

нарыл ещё более сложный блокировщик - но не юзал ещё

ещё решение для nginx - блокировка по списку

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 25 Регистрация: 05.04.2017

#813

07.09.2023 19:01:46

Взломали Bitrix24 (сносят полностью /home/bitrix) при повторном взломе еще и файлы OS повреждают (ТП хостинга FVDS переустанавливала)

Логи OS и сервера NGINX по ним видно что прогоняли через сервис поиска уязвимостей
https://leakix.net/
искали конфиг SFTP клиента VSCode которые по ошибки могли улететь на сервер https://clck.ru/35ccmB (и не только это)

Код

194.36.190.226 - - [06/Sep/2023:19:46:53 +0300 - -] 403 "GET /.git/HEAD HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.svn/wc.db HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.hg/store/00manifest.i HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - 0.082] 404 "GET /.env HTTP/2.0" 4309 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:47:28 +0300 - 0.096] 404 "GET /.vscode/sftp.json HTTP/2.0" 4327 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:20:02:19 +0300 - 0.016] 404 "GET /.vscode/sftp.json HTTP/2.0" 231 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в свой шелл CASUA

Код

194.36.190.226 - - [06/Sep/2023:19:44:19 +0300 - 0.006] 200 "GET /bitrix/casshell.php HTTP/2.0" 3794 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в файл html_editor_action.php

Код

45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.025] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13849 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.024] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13863 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"

с помощью bitrix.xscan был обраружен скрипт /g.php в котором содержался

phpFileManager 1.7.9 | By Fabricio Seger Kolling

Цитата

//{"lang":"","fm_root":"","timezone":"","date_format":"Y\/m\/d H:i","auth_pass":"d41d8cd98f00b204e9800998ecf8427e","error_reporting":1}
/*-------------------------------------------------
| PHP FILE MANAGER
+--------------------------------------------------
| phpFileManager 1.7.9
| By Fabricio Seger Kolling
| Copyright © 2004-2021 Fabrício Seger Kolling
| E-mail: dulldusk@gmail.com
| URL: http://phpfm.sf.net
| Last Changed: 2021-09-18
+--------------------------------------------------
...

https://github.com/edgardo001/phpFileManager/tree/master
https://sourceforge.net/projects/phpfm/

Данный скрипт позволяет получить доступ к системным папкам OS сервера, и повредить их, тем самым удалить всю информацию и "уложить" сервер.

https://site-cloud-files.bitrix.info/resize_cache/26634072/11df73f536e706bdcbd39dc8cd40b862/forum/6d...

Цитата ТП FVDS

Цитата

От: - 2023-09-07 10:46:39
По неизвестным причинам пропала часть файлов, которые нужны для корректной загрузки и работы ОС.
Пытаемся восстановить их.
Точных сроков пока назвать, к сожалению, не можем.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Цитата

От: - 2023-09-07 11:37:51
На сервере отсутствовали файлы, необходимы для загрузки ОС.
Переустановили ядро и загрузчик - сервер запустился.
В данный момент видим, что отсутствует директория /home/bitrix, т.е. все файлы сайта.
При этом другие директории, судя по всему, не затронуты: MySQL запущен и работает, базы данных на месте. Также на месте файлы в директории /ts (судя по всему это какие-то старые бекапы).

Вижу по переписке, что ранее ваша система была взломана, вероятно это послужило причиной.

Рекомендуем заказать новый сервер, и восстановить сайты на нем из резервных копий. Для этого вы можете обратиться к нам.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Добавьте в NGINX блокировку POST запросов к файлам

/etc/nginx/bx/site_settings/default/post_deny_all.conf

Код

# Blocked POST request injection
location ^~ /bitrix/tools/upload.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/mail_entry.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/modules/main/include/virtual_file_system.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/components/bitrix/sender.mail.editor/ajax.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/vote/uf.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/html_editor_action.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/admin/site_checker.php {
    limit_except POST {
        deny  all;
    }
}

Прикрепленные файлы

2023-09-08_12-26-27.png (53.01 КБ)

2023-09-08_12-00-46.png (54.82 КБ)

С ув. Вячеслав Докукин

Пользователь 330739

Посетитель

Сообщений: 44 Баллов: 6 Регистрация: 16.04.2015

#814

08.09.2023 10:20:41

Здравствуйте! Сайт был заражен вирусом, видимые зараженные файлы удалил. Был только 1 бэкап до заражения, скопировал оттуда папку битрикс. Сайт поднялся, но некоторые страницы (страница обновлений, бэкапов) в админке выдают ошибку

Код
"Parse error: syntax error, unexpected '}' in /bitrix/modules/main/classes/general/update_client.php on line 1".

Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 25 Регистрация: 05.04.2017

#815

08.09.2023 22:04:46

Alex Sam,

Цитата
Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

попробуйте перезаписать файлы ядра

Чтобы обновить файлы ядра (если вдруг по монитору качества вылезет ошибка)

Для этого нужно перейти на страницу Обновление платформы с параметром

BX_SUPPORT_PROTOCOLX=Y

вместо X порядковый номер месяца

Код
$ php -r "echo date('j', time());"

/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL8=Y

С ув. Вячеслав Докукин

Пользователь 330739

Посетитель

Сообщений: 44 Баллов: 6 Регистрация: 16.04.2015

#816

10.09.2023 22:59:38

Цитата

написал:
Alex Sam,

Цитата
Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

попробуйте перезаписать файлы ядра

Чтобы обновить файлы ядра (если вдруг по монитору качества вылезет ошибка) Для этого нужно перейти на страницу Обновление платформы с параметром BX_SUPPORT_PROTOCOLX=Y вместо X порядковый номер месяца

Код
$ php -r "echo date('j', time());"

/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL8=Y

p.s. нашел подходящую версию файла и зашел

спасибо, но вот как раз в обновления платформы я не могу зайти, ошибка на странице

Пользователь 4864667

Постоянный посетитель

Сообщений: 129 Баллов: 25 Регистрация: 11.04.2023

#817

11.09.2023 00:16:34

Цитата
Alex Sam написал: Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

Напишите в поддержку, попросите дистрибутив, близкий к вашей версии

Пользователь 1163543 Посетитель Сообщений: 26 Баллов: 5 Регистрация: 25.05.2017	#818 20.09.2023 14:42:07 Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#819

20.09.2023 14:45:56

Цитата
написал: Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

А есть рекомендации от Битрикс, что делать помимо срочных обновлений?

Пользователь 13618 Эксперт Сообщений: 1333 Баллов: 118 Регистрация: 05.04.2011 Сертифицированный партнер	#820 20.09.2023 15:23:46 вообще непонятно - как проверить ресурс на эту уязвимость? как защищаться? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#821

20.09.2023 18:44:35

Цитата
написал: вообще непонятно - как проверить ресурс на эту уязвимость? как защищаться?

Обновить Битрикс до последней версии,
либо если нет возможности обновиться, то удалить модуль landing, если он не используется.

Я обновил сегодня все сайты и удалил от греха подальше модуль landing - у нас он ни на одном сайте не используется,
куча места на сервере освободилась, т.к. этот модуль достаточно много весит.

Пользователь 7575986

Заглянувший

Сообщений: 1 Регистрация: 21.09.2023

#822

21.09.2023 12:41:02

Цитата
написал: Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

Интересно получается,

в бюллетне дата выявления 13.09.23, рекомендация обновить модуль landing до версии 23.850.0 и выше.
При этом на сайте Битрикса в истории версий указано, что версия v23.850.0 датирована 2023-06-02 (https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&amp;module=landing).
Т.е. это поздно описанная уязвимость, опечатка в датах (либо их неактуальность) или выявленная проблема в старых версиях модуля, которая, как оказалось была устранена в июньском обновлении?

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#823 21.09.2023 18:40:38 del

Пользователь 2951001 Заглянувший Сообщений: 1 Регистрация: 07.02.2020	#824 22.09.2023 00:15:59 сейчас написано v23.850.0 2023-09-14

Пользователь 153705

Постоянный посетитель

Сообщений: 145 Баллов: 30 Регистрация: 18.12.2012

#825

22.09.2023 04:39:59

Цитата

написал:

Цитата
написал: Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

Интересно получается,

в бюллетне дата выявления 13.09.23, рекомендация обновить модуль landing до версии 23.850.0 и выше.
При этом на сайте Битрикса в истории версий указано, что версия v23.850.0 датирована 2023-06-02 ( https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=landing ).
Т.е. это поздно описанная уязвимость, опечатка в датах (либо их неактуальность) или выявленная проблема в старых версиях модуля, которая, как оказалось была устранена в июньском обновлении?

Как правило, уязвимость сначала находят, связываются с разработчиками и дают им время на устранение, после устранения, еще проходит время, чтобы народ обновился и только потом публикуют. Это если белые хакеры, с черными уже узнают по факту начавшихся взломов. Так что с датами там все верно.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером