был POST /bitrix/admin/inputs.php
но вот самого inputs.php уже нет
но вот самого inputs.php уже нет
20.02.2023 16:32:31
был POST /bitrix/admin/inputs.php
но вот самого inputs.php уже нет |
|
|
|
21.02.2023 00:21:49
|
|||
|
|
21.02.2023 03:31:16
Врят ли в настройках, там рутовый доступ нужен, сломали скорее всего через старое ядро Битрикса.
Обновления в Битриксе были установлены? Покажи .htaccess с корня |
|
|
|
21.02.2023 04:24:15
В общем ломанули как написал выше
|
|
|
|
21.02.2023 04:30:16
У последнего клиента vote отсутствовал, так что хз как ломанули
Причем лом какой то странный, не пойму зачем htaccess так портить И судя по его содержимому там и на wordpress какой то расчет... Уже начинаю сомневаться, что это через ядро Битрикса взломали. |
|
|
|
21.02.2023 04:43:29
у нашего сначала ломанули, а атака с распространением htaccess спустя неделю прошла уже через бекдоры
|
|
|
|
21.02.2023 04:46:14
первый взлом был осуществлен через vote?
|
|
|
|
21.02.2023 04:51:10
скорее всего, причем сам модуль отключен был, они отключили после летнего массового взлома, но файлы компонентов остались в папках
|
|||||
|
|
21.02.2023 05:31:41
ну да, vote надо физически убирать иначе толку нет
|
|
|
|
21.02.2023 05:34:48
а вообще нужно обновляться до актуальной версии
все обратившиеся за помощью клиенты сидели на не обновлённом ядре + проект в git залить тут придётся заливать вместе с ./bitrix/ т.к. туда бэкдоры и селятся, хотя его обычно исключают далее # git status - и все изменения как на ладони и в случае взлома откатиться одной командой, типа # git reset --hard HEAD |
|
|
|
21.02.2023 06:30:44
|
|||
|
|
22.02.2023 09:09:27
ага, взломали сайт без всяких модулей голосования, с обновлениями на Старте. Битрикс, похоже, положил хрен на CMS и занялся только Б24, таких глобальных взломов всех подряд сайтов раньше не было
|
|
|
|
22.02.2023 09:25:34
а вот это уже очень странно и волнительно! какой хостинг? причину взлома нашли? |
|||
|
|
22.02.2023 10:01:33
|
|||||
|
|
22.02.2023 16:43:44
Есть ли у кого-то, кроме меня, проблема с тем, что в папку /bitrix/admin/ пишутся файлы из набора символов в названии и какой-то код в index.php в той же папке? Из описанного ранее другими участниками, сделал все, что нашел. /bitrix/admin/inputs.php отсутствует, потому не могу понять, откуда ноги растут. Ощущение, будто по крону переписывается (хотя ни в кроне, ни в агентах нет ничего подозрительного), либо, когда на сайт заходишь. post запросов подозрительных тоже в логах нет. Еще, кстати, одной из побочек было удаление файлов include.php со всего сайта, благо есть гит и можно было все восстановить (папка bitrix, правда, не в гите, потому там руками пришлось).
Так вот, пока не обнаружил, каким макаром в папку /bitrix/admin/ пишутся файлы и перезаписывается индексный файл. Если кто нашел - поделитесь плз. Сам индексный файл пока просто костыльнул, поставив ему владельца рута и права на чтение |
|
|
|
22.02.2023 17:28:32
попробуй по времени создания/модификации файлов которые создаются в /bitrix/admin/ в логах посмотреть - скорее всего POST запрос будет
других методов не знаю если кто знает - поделитесь плиз |
|
|
|
22.02.2023 19:50:01
бля, а где прячутся битриксовцы?
Сайты ломают у разных пользователей на разных хостингах, проблема глобальная, а никаких ни советов, ни рекомендаций нет. Как страусы спрятали головы в песок типа не видим проблемы, значит ее нет. Уже год, то сайты федеральных министерств на битриксе вскрывают, теперь вот еще одна волна пошла. Что творится-то, разработчики? |
|
|
|
23.02.2023 10:34:53
|
|||||||
|
|
26.02.2023 13:58:46
|
|||||
|
|
27.02.2023 08:28:15
Всем привет, был положен сайт на VDS timeweb, 25 числа обнаружили, что сайт не открывается. Был заменен index.php в корне, были JS инъекции в /home/bitrix/www/bitrix/js/main/core/core.js, /home/bitrix/www/bitrix/modules/main/include/prolog.php, так же был испорчен .htaccess. В корне были обнаружены и удалены каталоги wp-admin, wp-content, wp-includes, файл admin.php /home/bitrix/www/bitrix/components/bitrix/main.file.input/main.php
Сайт был поднят. Но пришел понедельник и сайт опять прилег. Испорчен index.php на сей раз в начало файла был встроен код
Простая замена на правильный index не помогает. Так же сегодня были обнаружены каталоги в корне d1cfdb79ba с двумя файлами a88fd79628.PHP и c1689ec1ac.php и в каталоге cooperation файл xmlrpcs.php Проверка системы ругается на запрет чтения рандомных подкаталогов в каталоге upload |
|||
|
|
27.02.2023 09:07:11
Смысл выкладывать - что поломали? Тут может быть что угодно... В зависимости от того что захочет взломщик.
Гораздо интереснее - как проникли и почему? Апдейты на движек всё стоят? Модуль vote физически удалён? Вы попробовали проанализировать логи? |
|
|
|
27.02.2023 09:31:05
в данной ветке один чел говорил, что VDS уязвимы ... но всё это осталось без какого либо подтверждения
в основном взломы в этой ветке сводятся на дыры в vote.php и html_editor_action.php которые давно зафикшены обновлениями Битрикса |
|
|
|
27.02.2023 09:56:42
Не забывайте, что ломать могут вообще не через Битрикс, а через другой дырявый сайт на этом же аккаунте, например, тот же WordPress. А Битрикс страдает просто «за компанию».
|
|
|
|
27.02.2023 11:09:25
да, конечно мной в априори подразумевается, что сайт на хостинге один и речь именно о Битриксе из коробки - в сторонних модулях гипотетически тоже дыр можно найти не мало по хостингу т.к. речь шла именно о bitrix-env я рассматриваю этот момент тоже в контексте дыр Битрикса (хотя тут пока не подтверждено - человек просто наговорил всего и "слился" а-ля пусть меня Битрикс сам попросит) |
||||
|
|
|||