Цитата |
---|
написал: Отлично. Рады пополнению! Приглашаем тебя на форум вордпресса, у нас много тем для обсуждения. Недавно вышло обновление 6.1.1 с исправлением уязвимостей и 50 ошибок, есть что обсудить. |
15.12.2022 10:48:14
|
|||
|
|
29.12.2022 13:40:38
Да, хотел бы прояснить одну ситуацию: дата изменения файла. Говорите, что файл main.php и прочие были модифицированы последний раз очень давно. Если бы не одно "но". Из PHP дата изменения файла меняется через команду touch(). Эта команда меняет время модификации файла, так называемый mtime. Но она не меняет время изменения статуса файла, т.е. время изменения свойств и метаданных файла, т.е. ctime. В консоли линукса нужно запустить команду stat имя_файла, т.е. например, чтобы посмотреть ctime для файла /bitrix/components/bitrix/main.file.input/main.php, вводим:
В итоге мы получим такую картину:
Это подтвердилось в ситуации, когда я проверял другой файл. 26.12.2022 года была сделана резервная копия сайта и развернута на компе, 27.12.2022 в проверяемом файле появились изменения, но дата изменения этого файла стояла вообще апрелем 2022. На компе же изменений в этом файле не оказалось. И только командой stat смог узнать, что на самом деле файл был изменен 27.12.2022. Так что те, у кого файл датирован то 2019 годом, то еще каким-то, проверьте строку "Change" через команду stat (если, конечно, сами этот файл не трогали). |
|||||||
|
|
09.01.2023 13:47:36
Александр Оносов, спасибо, коллега, что подробно разъяснил этот момент начинающим программистам - мне было лень это писать) Добавлю, что поиск изменённых файлов надо делать с помощью флага ctime, а не mtime:
Перед НГ преступники взломали один интернет-магазин, используя уязвимость bitrix/tools/html_editor_action.php. Пришлось разбираться с этим несколько часов. Если бы директория хранения временных файлов была вынесена за пределы сайта, то у преступника ничего не получилось бы.
Создание и поддержка сайтов:
|
|||
|
|
09.01.2023 13:51:08
почему Вы так решили? на сколько я понимаю там несколько другой механизм задействован - т.е. /upload/tmp/ это не = директория хранения временных файлов |
|||
|
|
09.01.2023 14:03:50
На это указывает лог залития на сайт бэкдора в виде файла spread.php по адресу bitrix/tools/spread.php:
Создание и поддержка сайтов:
|
|||
|
|
09.01.2023 14:11:16
вот я про это и говорю, на сколько я понимаю /upload/tmp/ не есть директория для временного хранения файлов в понятиях PHP
но используется Битриксом как директория для временного хранения файлов (но уже на каком то своём уровне) сомневаюсь, что её можно вытащить за пределы сайта хотя могу ошибаться ... |
|
|
|
09.01.2023 14:12:43
Евгений Донич, а у пользователя стояли последние обновления движка?
вроде уязвимость в html_editor_action.php уже давно прикрыли |
|
|
|
25.01.2023 11:31:59
коллеги, кто нибудь в курсе как зараза пролезает которая меняет
/bitrix/modules/main/bx_root.php вот такой ужас там обнаружил кто-то как у себя дома "хозяйничает" причём даже закоментированный код оставили зачем то у клиента денег на обновление движка до актуальной версии нет а дыру заделать очень просил |
|
|
|
25.01.2023 11:33:44
бэдор? не пойму как работает пока вычистил, но ведь явно не на долго |
|||
|
|
27.01.2023 20:56:58
Похоже новая волна взлома
2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php 2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php 1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default
Пока что просто почистил и поставил на эти файлы только чтение (сменил владельца на root). Этот взлом мешает корректному обмену с 1С. Судя по логу, ломали так
|
|||||||||
|
|
01.02.2023 15:13:09
Спасибо всем большое за оперативность. Помогло!
|
|
|
|
03.02.2023 13:01:53
при загрузке 13 и 12 страницы (другие не пробовал) этой темы на форуме Каспер ругается на вирус :
03.02.2023 12:50:17;Обнаружен вредоносный объект; HEUR:Trojan.Script.Generic; Троянское приложение; Эвристический анализ; Если вируса на странице нет, то возможно в JS прописан "request.open('GET', URL_BASE+'/data.json', true);" Как исправить - указано здесь |
|
|
|
07.02.2023 12:27:46
Приветствую всех!
Такая проблема: примерно с числа 02.022023г. не могу войти в админ панель, т.е. пароль и логи ввожу корректно, страница обновляется и все пусто. Естественно чистил кэш, пробовал разные браузеры. При этом заметил, что очень много спама пришло на форму отзывов. Может произошло переполнение какое-то где храняться список отзывов (имхо). |
|
|
|
07.02.2023 12:31:29
2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php 1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default и удалить в них код указанный? |
|||
|
|
07.02.2023 12:36:07
Верно, но искать лучше все изменённые файлы за последние дни, код может быть прописан и в других файлах. |
|||
|
|
07.02.2023 12:41:39
было такое - решение точно не скажу, но оно в этой теме точно есть ... я выкладывал что нужно сделать и ссылки на статьи источники, может 2-4 страницы тому назад на сколько помню JS иньекцию нужно вычистить |
|||
|
|
07.02.2023 13:58:11
файла "main.php" нет по пути /bitrix/components/bitrix/main.file.input/
в "prolog.php" нет ссылок в "agent_list.php" все норм вроде |
|
|
|
17.02.2023 11:51:29
|
|||||
|
|
17.02.2023 11:54:56
|
|||
|
|
17.02.2023 12:19:17
смотреть даты изменения - это только если взломщик не позаботился о том, чтобы их обратно изменить
врят ли на это стоит рассчитывать |
|
|
|
20.02.2023 15:30:52
сегодня обратились за помощью - вообще жестокий взлом, сайт положили - тупо .htaccess переписали поверх
будем логи изучать, через что залезли |
|||
|
|
20.02.2023 16:14:09
кроме htaccess (которые появились во всех папках по экземпляру) в /bitrix/admin/ периодически создаются рандомные php с таким фрагментом бекдора
|
|||||
|
|
20.02.2023 16:22:03
как ломанули нашел, но к сожалению заказчик уже сам этот файл почистил
очень жаль ... так не найду откуда изначально дыра открыта |
|
|
|
20.02.2023 16:26:04
|
||||
|
|
|||