Взломаны сайты в честь дня конституции украины

Сканирую каждый день антивирусом, каждый день по новой появляется такое:

Скрытый текст
https://ibb.co/vP822yj  https://ibb.co/tByDn1z

модифицированность ядра можно посмотреть в мониторе качества
/bitrix/admin/checklist.php?lang=ru

по восстановлению файлов ядра Битрикс - статья

в 2х словах
/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL3=Y
где 3 - день месяца  (сегодня 3)

но у меня чёт не завелось как были якобы 4 файла модифицированы, так и остались

Админка bitrix недоступна, только через хостинг.

А как восстановить админку?

Она и должна. Этот папка управляемого кеша, смысла искать в ней вирусы нет, просто удаляете. Если в самом ядре нет закладок, новый кеш будет чист.

для чего тогда в админке заложен такой функционал?

Кстати, раз уж Вы тут - без помощи ТП как то можно замечания по изменению файлов ядра самому фиксить?

просто сколько я не запускал монитор качества - эта проблема абсолютно везде всплывала, как правило все на неё "забивают"
разве что кроме совсем свежих проектов

Для техподдержки. Этот функционал не является публичным, не эквивалентен корректной установке обновлений и требует ручных действий по окончании. Можете по форуму поискать темы на предмет двойного декларирования классов в модулях.
Поясните. Если речь идет о провале тестов на заведомо неизменном проекте - это наша проблема (тикет, фикс). Если о том, чтобы восстановить битый/зараженный файл - только в ТП.

Я тоже им абузу отправил 2 дня назад. Пока тишина.

О, у меня тоже атаки с выданных ip от aeza

да, похоже все последние закладки по str_rot13 находятся - хороший способ
но тем не менее надо сначала фиксить дыры ... следующие закладки будут другие

Разбор того как работает взлом через POST к главной странице.

Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это:Видимо по архитектуре Битрикса файл bx_root.php будет задействован при любом запросе. По крайне мере при запросе в корень точно.
Далее, атакующий в любой удобный момент времени посылает POST запрос примерно следующего содержимого:В bx_root.php он расшифруется в следующее: или в этоили даже в это:parse_str заполнит 3 элемента массива $bx_stat, а потом будет вызвана функция с 2-мя аргументами $bx_stat[0]( $bx_stat[1], $bx_stat[2] )
и чаще всего это будет file_put_contents( virus_name, virus_body )

В логах веб-сервера это будет выглядеть как

"GET / HTTP/1.1" 200 3557 "-" ""
"POST / HTTP/1.1" 200 123 "-" ""
"GET /5b186f810c33.php HTTP/1.1" 200 3189 "" ""

Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php
Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")


Но это все следствия! Как и множество других "страшнозакодированных" скриптов и .htaccess'ов которые здесь постили.
Причина, в моем случае точно, в другом. Вот с чего все начиналось: У Битрикса где-то внутри стоит что-то вроде include($_POST). Это и есть уязвимость LFI2RCE via PHP Filters!
Весь этот запрос ( он у меня есть ) путем манипуляций кодировок превращается в следующий код:соответственно будет произведен запуск любой команды из POST параметра 'a'.
Ключевое слово для поиска в логах CSISO2022KR - это обозначение корейской кодировки, без нее ничего не работает.
Почему так - сказано в статье https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html

Как лечить? Пока поставить такую заглушку в /products/index.php
if($_SERVER['REQUEST_METHOD']=='POST') die();

Или глобально stream_wrapper_unregister('php')

Искать где находиться уязвимый код include($_POST) буду дальше.

Все полные логи и коды запросов имеются, могу выслать желающим