Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 4606276

Заглянувший

Сообщений: 12 Баллов: 1 Регистрация: 18.09.2020

#26

28.06.2022 14:22:21

Цитата
написал: Добрый день! У нас тоже упал сайт, и не возможно зайти в админку. Подскажите, пожалуйста, как вы выполнили вход? Я аккаунт-менеджер, мы сейчас без программиста и в поиске тех. поддержки на постоянную основу.

skillline.ru - поможем

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#27

28.06.2022 14:23:42

Цитата

написал:

Цитата
написал: Подскажите, пожалуйста, как вы выполнили вход? Я аккаунт-менеджер, мы сейчас без программиста

без программиста не войдете

web@urlvir.ru - пишите, поможем.
+79518759917

Пользователь 145697 Посетитель Сообщений: 30 Баллов: 5 Регистрация: 13.10.2012	#28 28.06.2022 14:26:33 Коллеги, может тут все таки будет собирать информацию по взлому, а не рекламировать свои услуги!

Пользователь 609443

Эксперт

Сообщений: 363 Баллов: 76 Регистрация: 07.06.2016

#29

28.06.2022 14:30:43

Код
Подскажите, пожалуйста, как вы выполнили вход?

Предположу, что можно попробовать восстановить из бэкапа (например, через суппорт хостера) и сразу все обновить. Если совсем без программиста.

Пользователь 148165 Заглянувший Сообщений: 2 Регистрация: 03.12.2012	#30 28.06.2022 14:37:37 У нас заражены сразу десяток проектов на разных хостингах с разными версиями Битрикс.

Пользователь 365135

Заглянувший

Сообщений: 4 Регистрация: 22.08.2015

#31

28.06.2022 14:37:38

Были взломаны 2 сайта (основной и сайт для разработки) , оба на разных виртуальных машинах под Bitrix VM 7, сайт под разработку был под htpasswd.

Основной был восставлен из вчерашнего бекапа, обновлён до актуальной версии, как и сам сервер, второй оставлю для поисков проблемы, такое ощущение, что было что-то залито ранее.

Сайт другого клиента не был тронут, обновления были установлены 4 апреля 2022 года, работает не на Bitrix VM.

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#32

28.06.2022 14:46:38

Цитата

написал:
Были взломаны 2 сайта (основной и сайт для разработки) , оба на разных виртуальных машинах под Bitrix VM 7, сайт под разработку был под htpasswd.

Основной был восставлен из вчерашнего бекапа, обновлён до актуальной версии, как и сам сервер, второй оставлю для поисков проблемы, такое ощущение, что было что-то залито ранее.

Сайт другого клиента не был тронут, обновления были установлены 4 апреля 2022 года, работает не на Bitrix VM.

Маловероятно, мы на этих выходных получили 2 сайта и полностью проверяли, один обновлённый сайт не был тронут, на втором без обновлений было абсолютно чисто, взломали сегодня утром.

Пользователь 369761

Заглянувший

Сообщений: 1 Регистрация: 14.06.2017

#33

28.06.2022 14:48:09

Цитата

написал:
Коллеги, имейте ввиду дело не только в модуле vote. У нас его нет, а сайты поломали. Перед поломкой зафиксированы POST запросы к /bitrix/tools/html_editor_action.php

Так что когда этот бот обходит сайты он проверяет уязвимости разные, а не только vote

есть еще информация по данному моменту? не хотелось бы в августе, на день прапора поиметь такое же приветствие

Пользователь 4914450 Заглянувший Сообщений: 1 Регистрация: 28.04.2021	#34 28.06.2022 14:54:45 2 сайта на базе корппортала, bitrixvm Обновления стояли, сайты нетронуты POST запросов не наблюдали (возможно плохо смотрел, но не было). Скажите, а меняли пароли админа с ID 1 или всей группы администраторов?

Пользователь 1089577

Заглянувший

Сообщений: 7 Регистрация: 19.06.2017

#35

28.06.2022 15:00:04

А вот по поводу уничтоженных инфоблоков - кому-то удалось выяснить, это непосредственно информация удалена из бд, или какие-то менее глобальные изменения? На проекте не создавались бэкапы, теперь непонятно, где искать утраченное.

Пользователь 5846006

Заглянувший

Сообщений: 1 Регистрация: 16.12.2021

#36

28.06.2022 15:02:12

Цитата

написал:
А вот по поводу уничтоженных инфоблоков - кому-то удалось выяснить, это непосредственно информация удалена из бд, или какие-то менее глобальные изменения? На проекте не создавались бэкапы, теперь непонятно, где искать утраченное.

нет бэкапа, нет данных, увы

Пользователь 365135

Заглянувший

Сообщений: 4 Регистрация: 22.08.2015

#37

28.06.2022 15:05:39

Цитата

написал:

Цитата

Смотрю на тестовом папку tmp как написал Анатолий Ерофеев, видимо сначала залили (по логам с IP 185.180.199.209), потом запустили c IP 128.14.133.58.

По поводу какие изменения сделали:
- удалили файл .settings.php,

- заменили главную страницу,

- потерли инфоблоки,

- изменили содержимое агента с ID = 1,

- изменили пароли и хеш пароли на такое содержимое как на третьем скрине.

Прикрепленные файлы

2022-06-28_14-49-02.png (41.73 КБ)

2022-06-28_14-49-58.png (59.29 КБ)

2022-06-28_11-47-26 (3).png (21.62 КБ)

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#38

28.06.2022 15:11:15

На двух сайтах был взлом через /bitrix/tools/vote/uf.php
1) Заменили index.php
2) Удалили /bitrix/.settings.php
3) Добавили агента и ID 1

Пароли не меняли, инфоблоки не затерли.

Как лечил
1) Для /bitrix/tools/vote/uf.php добавил die
2) Для /bitrix/tools/html_editor_action.php добавил die
3) Почистил /upload/tmp
4) Удалил агента с ID 1
5) Удалил /bitrix/tools/putin...
6) Восстановил Index.php и .settings.php

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#39

28.06.2022 15:26:03

Цитата

написал:

Цитата

написал:

Цитата
написал: location = /bitrix/tools/vote/uf.php { if ($request_method = POST) { return 404; } try_files return @php;}

А в каком файле прописать этот локейшен?

В файле /bitrix/tools/vote/uf.php перед require:

Код
$request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); }

Если прописать его перед require, то словим исключение , т.к. невозможно найти класс.

Пользователь 104919 Заглянувший Сообщений: 10 Регистрация: 14.03.2012	#40 28.06.2022 15:44:55 У меня взломаны два сайта, все вышеперечисленные признаки, плюс еще один агент изменен (ID=2) https://skr.sh/sEfOEYlAGQN И при редактировании юзера, ошибка https://skr.sh/sEfTxMnwXTP

Пользователь 61272 Посетитель Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011	#41 28.06.2022 15:50:46 Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Пользователь 104919

Заглянувший

Сообщений: 10 Регистрация: 14.03.2012

#42

28.06.2022 15:52:23

Цитата
написал: Как лечил1) Для /bitrix/tools/vote/uf.php добавил die2) Для /bitrix/tools/html_editor_action.php добавил die3) Почистил /upload/tmp4) Удалил агента с ID 15) Удалил /bitrix/tools/putin...6) Восстановил Index.php и .settings.php

То есть даже не восстанавливали из бэкапа? после этого все нормально работает? У меня кроме перечисленного еще и ошибка при редактировании пользователя возникает https://skr.sh/sEfTxMnwXTP

Пользователь 35902

Заглянувший

Сообщений: 18 Баллов: 2 Регистрация: 15.01.2009

#43

28.06.2022 15:53:32

Цитата
Антон Штинов написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Адреса ботнетов, бесполезно по IP вычислять будет.

Пользователь 6393518

Заглянувший

Сообщений: 1 Баллов: 1 Регистрация: 28.06.2022

#44

28.06.2022 15:54:04

Всех приветствую! У моих знакомых так же был взломан сайт, все по предыдущим пунктам. Что лично я обнаружил:

Во-первых, все пароли были поменяны на незашифрованное слово "putin":

Скрытый текст

Способ решения проблемы:

1. Заходим в базу данных, получаем список пользователей по запросу:

Скрытый текст
SEL ECT id, LOGIN FR OM `b_user`;

2. Я могу вам предложить свой пароль, который сгенерировал рандомно из головы (временно), собственно - ставим его:

Скрытый текст
UPD ATE `b_user` se t PASSWORD = "$6$G4snOFwkxTQIpHS5$0K8JnFNBwVaGn4t5vI5zboim374km5ol6yYUDSCuR7Fs3wxae6lb.rXgl7GTMMTTdiUx0iJXVcLIwlap5M/Co0 " where id = "ID ВАШЕГО ПОЛЬЗОВАТЕЛЯ";

Пункт два помогает вам установить пароль на: "Vadimka123"

Да, вы войдете, но скорее всего вас ждет картина с удаленными ИБ.

Исправление остальных проблем:

1. Для начала - удалите ваши "Агенты", который делают эти деяния:

Первый "Агент" выглядит так:

Скрытый текст

Удаляем его.

Второй "Агент" выглядит так:

Скрытый текст

Удаляем его так же.

2. Поиск измененных файлов:

Если вы используете bitrix в одной директории с остальным сайтом, выполните следующую команду:

Скрытый текст

Сама команда:

Код
find . -type f -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Таким образом мы обнаружим последние модифицированные файлы. Если же многосайтовый режим, через шаринг bitrix - в директории bitrix советую выполнить так же эту команду.

3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:

В файл /bitrix/tools/vote/uf.php перед required (а ещё лучше - в компонент):

Код
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); }

В файл /bitrix/tools/html_editor_action.php перед required (а ещё лучше - в компонент):

Код
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); }

В логах NGINX обнаружено следующее:

Скрытый текст

(остальное сейчас дополню)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#45

28.06.2022 15:56:23

Для запуска из консоли - ищем все модифицированные сегодня файлы, с раширением php в папке /var/www/html(папку ставим свою). Список будет в файле:
/var/log/daily_modify_php_files.log

find /var/www/ -type f -name "*.php" -mtime 0 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r >>/var/log/daily_modify_php_files.log

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#46

28.06.2022 16:00:08

Так же обнаружил попытку взлома на проекте, но она получилась у злоумышленников только наполовину т.к. агенты не успели отработать до того как я их обнаружил.

Были обращения с IP 185.180.199.209 к файлу /bitrix/tools/html_editor_action.php
Были изменены 2 агента, первый тот что с eval() c ID 1, второй с ID 2 (скриншот).

Прикрепленные файлы

Список агентов.jpg (18.47 КБ)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#47

28.06.2022 16:12:18

Цитата
написал: find . -type f -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Вадим, поправьте:
добавьте -mtime 0

Иначе, он просто у вас ищет все файлы и выводит дату модификации.
Хотя, конечно можно и так. Все равно он сортирует от большего к меньшему(-r).

Пользователь 104919 Заглянувший Сообщений: 10 Регистрация: 14.03.2012	#48 28.06.2022 16:12:52 При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#49

28.06.2022 16:20:50

Цитата
написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Тот же IP, думаю все случаи были с него.

Пользователь 175698

Заглянувший

Сообщений: 6 Регистрация: 01.04.2013

#50

28.06.2022 16:21:25

Цитата
написал: При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Проверьте права на запись в папке сайта для пользователя bitrix, если вы на виртуальной машине

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером