| Цитата |
|---|
| Алексей Вдовин написал: Ещё вариант по ядру - думаю в саппорте можно запросить файловый архив актуальной версии ядра, у себя все снести и накатить так, сказать с эталона - тогда вариант бэкдора в файлах ядра точно уйдёт в минус. Сам проект в гите должен быть (для быстрого отлова изменений), плюс можно и ядро в гит запихать (пока не уладится с вируснёй). |
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
Вы митингуете против теорий заговора, но что скажете про подобную историю с обиженным прогером под модикс в 2018 - он просто ушел из команды и не закрыл дыру, компонент gallery, причем этот компонент в отличие от других компонентов несколько лет не обновлялся, т.е. по мнению разраба там было все отлично, но нет... через какое-то время дыра была использована в массовом масштабе. Решение по лечению было такое - УДАЛИТЬ этот компонент и далее обновить движок. А термин "теория заговора" был придуман и введен в оборот именно теми, кто не желал каких-то раскопок и расследований, заставляя высмеивать всех сомневающихся, как видим, в 21 веке этот термин становится весьма опасен, будучи употреблен... |
|||||
|
|
|
|
Бэкдор. Как он там оказался не совсем понятно, много пишут про уязвимость модуля vote и то, что можно загрузить и исполнить произвольный код.
То есть через модуль можно, но есть этот бэкдор (дополнительный), которым можно исполнить любой код (вплоть до rm -rf /, хотя веб-сервер не должен быть от root и будет удалено только то, на что хватит прав, но все равно очень не приятно. Хотя неприятнее терять контроль и искать трояны. Спасибо, Битрикс, некогда в сравнении с WP описываемый как безопасный. Удаляя модуль полностью (перенося в рандомную папку) никак не помогает уйти от редиректов. В агентах пусто. Никаких стремных файлов. Возможности здесь и сейчас обновиться нет, так как никому не хочется пробовать, а потом переписывать legacy, который сломается. Все работает на PHP 7.1, а тут просят VM 7.5+ PHP 7.4+. Кому оно надо все это обновлять. Хотя уязвимое legacy Битрикса демонстрирует феерические масштабы. Конкретика. Ищем бэкдор.
Очень вероятно, что в результате это будет модуль fileman. Еще здесь не видел ссылку на бюллетень Яндекса Найдет банальный бэкдор:
И непонятную хрень тоже стоит удалить:
Вероятно, что это не имеет большого смысла, так как уязвимость в старом ядре остается, но можно сделать хоть что-то перед полным обновлением окружения и ядра. |
|||||||
|
|
|
|
Новая неделя новый код
|
|||
|
|
|
|
Это только у меня? Перехожу на 8 страницу и получаю от каспера:
|
|
|
|
|
|
|||
|
|
|
|
main.php удален, не помогает - код появляется снова.
|
|
|
|
|
После удаления модуля vote и вырезания найденного бэкдора + перемещения папки на уровень выше веб-сервера (/home/$user/www) вредоносный редирект перестал появляться. Прошла всего неделя, но обычно появлялся быстро (3-7 дней). main.php тоже ранее удалял, это никак не повлияло, ведь был бэкдор с исполнением через "system('some_command_on_server')". Слежу за prolog.php и core.js через CRON и сравнение md5 хэша. |
|||
|
|
|
|
|||||
|
|
|
коли это не ваше - выкидывайте смело |
|||
|
|
|
|
01.09.2022 в 20:55 опять были заражены файлы bitrix/js/main/core/core.js и bitrix/modules/main/include/prolog.php
Все возможные методы не помогают.  |
|
|
|
|
Покажите содержимое чем именно заражают? Хотелось бы выявить паттерн для проверки. |
|||
|
|
|
|
ну коли Вы так точно знаете время заражения - анализируйте логи, какие скрипты "дёргали" в это время
скорее всего это POST запрос |
|
|
|
|
|
если Вы просто хотите избежать заражения, не вникая в причину - можно просто изменить владельца и права доступа данных файлов (но тогда при обновлении движка нужно их разблочить обратно, иначе не обновятся)
но я бы рекомендовал всё таки найти дыру |
|
|
|
|
|
|||
|
|
|
  инициируйте отзыв сертификатов как не актуальных, требуйте возместить ущерб из-за лживой рекламы. |
|||
|
|
|
Последняя строка дописывается |
|||||||
|
|
|
|
|||
|
|
|
|
---
|
|
|
|
|
|
В конец файла /bitrix/js/main/core/core.js также дописывается зашифрованная строка вызова этого скрипта:
 |
|
|
|
|
|
А также создаются дополнительные файлы или вносятся изменения в рабочие файлы ядра дописыванием строки вначале или в конце файла
  |
|
|
|
|
|
в /upload/tmp с переодичностью раз-два в месяц продолжают появляться папки с файлами такого типа /upload/tmp/BXTEMP-2022-09-28/07/bxu/main
хотелось бы разобраться откуда лезут и где дырка, запрет выполнения файлов в папке tmp это лишь временное решение, анализ логов ничего не дал, в логах сервера чисто, посоветуйте куда копать, все перечисленное в данном топике проверил/подправил, что еще может быть? |
|
|
|
|
|
|||||
|
|
|
|
|||
|
|
|
победить не удалось, но удалось локализовать, в /upload/tmp/ по прежнему появляются непонятные файлы, но дальше не идут, переодически проверяю эту папку, при обнаружении инородных предметов чищу) пока больше на ум ничего не приходит, как и писал выше анализ логов ничего не дал, до сих пор не понятно каким образом все это происходит, еще вот нашел тему по нашей проблеме, частично реализовал, но в любом случае все это не полноценное решение проблемы, так как все равно не понятно где дырка, и пока удается только недопустить дальнейшего заражения, если у кого есть идеи, пишите, не стесняйтесь!!! |
||||
|
|
|
|||
