Сегодня утром еще прилетело на сайт в корень файл hacket.txt , c содержанием hacked by keyznet
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
Дмитрий тут ветка не совсем по Вашей тематике - тут вирусы ищем, дыры затыкаем ... зачем Вы репостите сюда своё обращение в ТП? Если хотите помощи на форуме сделайте отдельную ветку, сформулируйте вопрос |
|||
|
|
|
|
Никто не разобрался каким образом процесс в память попадает, который меняет index и htaccess? Все закладки вычистили, процессов подозрительных нет, vote удален. Но снова по утру левые файлы в корне и htaccess с index изменены
|
|
|
|
|
|
|||
|
|
|
Как выше ребята предложили -- в htaccess добавили блок доступа по IP и в index добавили запрет POST-запросов, посмотрим |
|||
|
|
|
|
|||
|
|
|
выше писал что заблочить только на этой версии битрикса тесты системы не проходят, типа проблемы коннектов сокетов, но при этом всё работает, и файлы заливаются и фаталов нет и БД работает. видимо просто старая версия. Советую применить метод disable_function |
|||
|
|
|
|
|||||
|
|
|
|
Уточнение на счет eval и disable_function.
- это не функция, а языковая конструкция и не может быть отключена через disable_functions. Олды помнят такую вещь как . Для php 7, php 8 есть его продолжение Snuffleupagus
С его помощью можно блокировать и eval и функции с маской по аргументам вызова и много чего еще. Его бы в BitrixVM (BitrixENV) добавить. Модуль для php в составе репозитория remi есть для CentOS 7,8,9 (CentOS, RHEL, Rocky Linux, AlmaLinux). А так же есть пакеты под Debian, Ubuntu, FreeBSD, Fedora, Arch Linux. |
|||
|
|
|
|
А вот человек написал простенькое расширение для PHP 8, которое отключает eval: Подробно описано, как это сделано. Может быть поможет кому то (ссылка на git: )
|
|
|
|
|
 Администратор
Сообщений:
Баллов: 1848
Регистрация: 05.08.2005
Epic fail - сказать "это так просто" и не суметь сделать
|
Коллеги, блокировка eval приведет к потере функциональности продукта.
Не надо сверлить зубы через задний проход дрелью от Сваровски
|
|
|
|
|
Вопрос одновременно и по теме и нет, но думаю ни одного меня интересует.
На части проектов после обновления всё хорошо, но эти проекты обновлены до 8 версии php. На другой части снова лезут файлы, вопрос, при переходе на версию 8, будут ещё обновления которые недоступны на предыдущих, или на второй части просто не всё вычистили? |
|
|
|
|
|
|||
|
|
|
|
Администратор
Сообщений:
Баллов: 1848
Регистрация: 05.08.2005
Epic fail - сказать "это так просто" и не суметь сделать
|
Не надо сверлить зубы через задний проход дрелью от Сваровски
|
||
|
|
|
|
Коллеги, у меня та же проблема (автоматическое создание файлов htaccess и index с модифицированном коде), только всё намного хуже. Есть выделенный сервер, на нём около 80 сайтов (каждый под разным пользователем), из них половина на Битриксе. Сайты на разных версиях РНР от 5.6 до 7.4. Взлом обнаружили неделю назад сначала на 8 сайтах, которые уже больше 2 лет не обновлялись, на которых версия РНР была 5.6-7.0. Мы удалили полностью файлы заражённых сайтов, восстановили резервную копию от января этого года, установили все обновления Битрикс, версию РНР для всех сделали 7.4 и расслабились. На следующий день всё тоже самое.
Тогда, удалили пользователей, под которыми были сделаны сайты и базы данных. Создали новых пользователей, новые БД, загрузили архив от января (он, к слову, выглядит нормально после распаковки). Снова поставили обновления, версию РНР 7.4. Поставили модуль поиска троянов от Битрикс - проблем не найдено. Сделали это 3 дня назад. Сейчас с Htaccess всё в порядке, но меня смущает содержимое файла .access.php в корне сайта. На всех взломанных сайтах есть такие строчки в этом файле: $PERM["desktop_app"]["*"]="D"; $PERM["online"]["*"]="R"; $PERM["pub"]["5"]="T_8"; Папок desktop_app и online нет ни на одном сайте. На части сайтов есть папка pub в корне, на части нет. Но каким образом могла появится запись $PERM["pub"]["5"]="T_8"; на тех сайтах, на которых папка pub в принципе не существует на сервере? Внутри папки pub всегда есть файл im.file.php и иногда ещё какие-то папки и файлы. Содержимое im.file.php такое: <?php use \Bitrix\Main\Error, \Bitrix\Main\Result; define('IM_AJAX_INIT', true); define('PUBLIC_AJAX_MODE', true); define('NO_KEEP_STATISTIC', 'Y'); define('NO_AGENT_STATISTIC', 'Y'); define('NO_AGENT_CHECK', true); define('DisableEventsCheck', true); define('STOP_STATISTICS', true); require_once $_SERVER['DOCUMENT_ROOT'].'/bitrix/modules/main/include/prolog_before.php'; if( !\Bitrix\Main\Loader::includeModule('disk') || !\Bitrix\Main\Loader::includeModule('im') ) { die; } $request = Bitrix\Main\Application::getInstance()->getContext()->getRequest(); $result = new Result(); if ($request->get('FILE_ID') && $request->get('SIGN')) { $diskFileId = (int)$request->get('FILE_ID'); $sign = htmlspecialcharsbx($request->get('SIGN')); try { $signer = new \Bitrix\Main\Security\Sign\Signer; $signKey = \CIMDisk::GetFileLinkSign(); if (is_string($signKey)) { $signer->setKey($signKey); } $sign = (int)$signer->unsign($sign); } catch (\Bitrix\Main\Security\Sign\BadSignatureException $e) { try { $signer = new \Bitrix\Main\Security\Sign\Signer; $sign = (int)$signer->unsign($sign); } catch (\Bitrix\Main\Security\Sign\BadSignatureException $e) { } } if ($diskFileId === $sign) { $file = \Bitrix\Disk\File::getById($diskFileId); if ($file !== null) { $fileId = $file->getFileId(); CFile::ViewByUser($fileId); } else { $result->addError(new Error('Missing file')); if ($request->get('img') === 'y') { $errorImageSrc = 'iVBORw0KGgoAAAANSUhEUgAAAEsAAABiCAYAAAAY7S4UAAAN7UlEQVR4Xu1c header('Content-type: image/png'); echo base64_decode($errorImageSrc); } } } else { $result->addError(new Error('Wrong signature or file id')); } } else { $result->addError(new Error('Missing signature or file id')); } if (!$result->isSuccess()) { foreach ($result->getErrorMessages() as $errorMessage) { $lastError = $errorMessage; } CHTTP::SetStatus('403 Forbidden'); header("BX-File-Error: $lastError"); } CMain::FinalActions(); die(); Так же я обнаружила папку /pub/ и такие же строки в .access.php в нескольких сайтах, которые у нас регулярно обновляются, версия РНР там 7.4. И на которых нет признаков вирусов, да и поиск троянов ничего не находит. Но и это ещё не всё. Такую же папку я нашла на нескольких наших сайтах, которые вообще на других серверах располагаются, у других хостеров, т.е. по идее, они вообще никак между собой не связаны. В общем, я не могу найти закономерность. Может кто-то подскажет, в какую сторону копать? |
|
|
|
|
|
В дополнении к прошлому сообщению. Не уверена точно, но по-моему, на все сайты на которых у нас был взлом были установлены модули Аспро. Мы ещё не полностью все свои сайты проверили на вирусы, поэтому точно сказать не могу, в ближайшие дни проверим все остальные. Но из тех, на которых сейчас вирусы обнаружили сделаны именно на Аспро. Я проверила несколько сайтов, свёрстанных с нуля(на том же сервере, где многие сайты у нас взломали), там .access.php выглядит абсолютно нормально и других признаков взлома тоже нет. Напишите, пожалуйста, те у кого тоже были подобные взломы использовали ли вы модули этой компании?
|
|
|
|
|
После все саты были обновлены до последней актуальной версии БУС. Но опять взлому подвергся сайт с темой от Аспро. Возможно, для поиска работающих на Битрикс сайтов, для последующей атаки, используются средства автоматизации. Что то вроде краулера, который бегает по сети, анализирует код, и когда находит фрагменты кода шаблонов от известных, популярных студий, сайт пытаются взломать. |
|||
|
|
|
|
|||
|
|
|
хм ... а сайт с такими же симптомами (процесс в памяти, изменение index.php .htaccess) который мне не так и не удалось вылечить тоже с Аспро модулем |
|||
|
|
|
|
|||
|
|
|
Как вариант, с которым встретились тоже - не было закрытия обработчика php в /upload/ каталоге. загрузили файл и через него понеслась  )
|
|
|||||||
|
|
|
|
|||
|
|
|
Если бы взломан был какой-то один сайт, то я бы не могла предположить, что проблема в Аспро, но сейчас речь идёт о десятках сайтах, разработкой которых мы занимались. Они расположены на разных серверах (большая часть на одном выделенном, но на отдельных тоже есть), часть сайтов регулярно обновлялась, часть была со старыми версиями Битрикс. На текущий момент, единственная закономерность, которую я обнаружила, это то, что все взломанные сайты были или с модулем аспро, или находились в той же папке, под тем же пользователем, что и другой сайт на Аспро. К слову, у нас есть сайт, на котором мало того, что Битрикс постоянно обновляем, так ещё и Аспро:Максимум обновляем, последнее обновление было установлено около 2-3 недель назад, так вот, на нём с htaccess всё нормально, явных вирусов нет, но как и в предыдущих случаях есть папка /pub/ и странный вариант файла .access.php в корне. |
|||
|
|
|
|
для атаки используются модули vote spread fileman html_editor_action.php
летом была волна, были статьи как закрыться ищите в логах упоминания обращений к этим файлам. |
||||
|
|
|
|||
