Коллеги, у меня та же проблема (автоматическое создание файлов htaccess и index с модифицированном коде), только всё намного хуже. Есть выделенный сервер, на нём около 80 сайтов (каждый под разным пользователем), из них половина на Битриксе. Сайты на разных версиях РНР от 5.6 до 7.4. Взлом обнаружили неделю назад сначала на 8 сайтах, которые уже больше 2 лет не обновлялись, на которых версия РНР была 5.6-7.0. Мы удалили полностью файлы заражённых сайтов, восстановили резервную копию от января этого года, установили все обновления Битрикс, версию РНР для всех сделали 7.4 и расслабились. На следующий день всё тоже самое.
Тогда, удалили пользователей, под которыми были сделаны сайты и базы данных. Создали новых пользователей, новые БД, загрузили архив от января (он, к слову, выглядит нормально после распаковки). Снова поставили обновления, версию РНР 7.4. Поставили модуль поиска троянов от Битрикс - проблем не найдено. Сделали это 3 дня назад. Сейчас с Htaccess всё в порядке, но меня смущает содержимое файла .access.php в корне сайта. На всех взломанных сайтах есть такие строчки в этом файле:
$PERM["desktop_app"]["*"]="D";
$PERM["online"]["*"]="R";
$PERM["pub"]["5"]="T_8";
Папок desktop_app и online нет ни на одном сайте. На части сайтов есть папка pub в корне, на части нет. Но каким образом могла появится запись $PERM["pub"]["5"]="T_8"; на тех сайтах, на которых папка pub в принципе не существует на сервере?
Внутри папки pub всегда есть файл im.file.php и иногда ещё какие-то папки и файлы. Содержимое im.file.php такое:
<?php
use \Bitrix\Main\Error,
\Bitrix\Main\Result;
define('IM_AJAX_INIT', true);
define('PUBLIC_AJAX_MODE', true);
define('NO_KEEP_STATISTIC', 'Y');
define('NO_AGENT_STATISTIC', 'Y');
define('NO_AGENT_CHECK', true);
define('DisableEventsCheck', true);
define('STOP_STATISTICS', true);
require_once $_SERVER['DOCUMENT_ROOT'].'/bitrix/modules/main/include/prolog_before.php';
if(
!\Bitrix\Main\Loader::includeModule('disk')
|| !\Bitrix\Main\Loader::includeModule('im')
)
{
die;
}
$request = Bitrix\Main\Application::getInstance()->getContext()->getRequest();
$result = new Result();
if ($request->get('FILE_ID') && $request->get('SIGN'))
{
$diskFileId = (int)$request->get('FILE_ID');
$sign = htmlspecialcharsbx($request->get('SIGN'));
try
{
$signer = new \Bitrix\Main\Security\Sign\Signer;
$signKey = \CIMDisk::GetFileLinkSign();
if (is_string($signKey))
{
$signer->setKey($signKey);
}
$sign = (int)$signer->unsign($sign);
}
catch (\Bitrix\Main\Security\Sign\BadSignatureException $e)
{
try
{
$signer = new \Bitrix\Main\Security\Sign\Signer;
$sign = (int)$signer->unsign($sign);
}
catch (\Bitrix\Main\Security\Sign\BadSignatureException $e)
{
}
}
if ($diskFileId === $sign)
{
$file = \Bitrix\Disk\File::getById($diskFileId);
if ($file !== null)
{
$fileId = $file->getFileId();
CFile::ViewByUser($fileId);
}
else
{
$result->addError(new Error('Missing file'));
if ($request->get('img') === 'y')
{
$errorImageSrc = 'iVBORw0KGgoAAAANSUhEUgAAAEsAAABiCAYAAAAY7S4UAAAN7UlEQVR4Xu1c
header('Content-type: image/png');
echo base64_decode($errorImageSrc);
}
}
}
else
{
$result->addError(new Error('Wrong signature or file id'));
}
}
else
{
$result->addError(new Error('Missing signature or file id'));
}
if (!$result->isSuccess())
{
foreach ($result->getErrorMessages() as $errorMessage)
{
$lastError = $errorMessage;
}
CHTTP::SetStatus('403 Forbidden');
header("BX-File-Error: $lastError");
}
CMain::FinalActions();
die();
Так же я обнаружила папку /pub/ и такие же строки в .access.php в нескольких сайтах, которые у нас регулярно обновляются, версия РНР там 7.4. И на которых нет признаков вирусов, да и поиск троянов ничего не находит.
Но и это ещё не всё. Такую же папку я нашла на нескольких наших сайтах, которые вообще на других серверах располагаются, у других хостеров, т.е. по идее, они вообще никак между собой не связаны.
В общем, я не могу найти закономерность. Может кто-то подскажет, в какую сторону копать?
Тогда, удалили пользователей, под которыми были сделаны сайты и базы данных. Создали новых пользователей, новые БД, загрузили архив от января (он, к слову, выглядит нормально после распаковки). Снова поставили обновления, версию РНР 7.4. Поставили модуль поиска троянов от Битрикс - проблем не найдено. Сделали это 3 дня назад. Сейчас с Htaccess всё в порядке, но меня смущает содержимое файла .access.php в корне сайта. На всех взломанных сайтах есть такие строчки в этом файле:
$PERM["desktop_app"]["*"]="D";
$PERM["online"]["*"]="R";
$PERM["pub"]["5"]="T_8";
Папок desktop_app и online нет ни на одном сайте. На части сайтов есть папка pub в корне, на части нет. Но каким образом могла появится запись $PERM["pub"]["5"]="T_8"; на тех сайтах, на которых папка pub в принципе не существует на сервере?
Внутри папки pub всегда есть файл im.file.php и иногда ещё какие-то папки и файлы. Содержимое im.file.php такое:
<?php
use \Bitrix\Main\Error,
\Bitrix\Main\Result;
define('IM_AJAX_INIT', true);
define('PUBLIC_AJAX_MODE', true);
define('NO_KEEP_STATISTIC', 'Y');
define('NO_AGENT_STATISTIC', 'Y');
define('NO_AGENT_CHECK', true);
define('DisableEventsCheck', true);
define('STOP_STATISTICS', true);
require_once $_SERVER['DOCUMENT_ROOT'].'/bitrix/modules/main/include/prolog_before.php';
if(
!\Bitrix\Main\Loader::includeModule('disk')
|| !\Bitrix\Main\Loader::includeModule('im')
)
{
die;
}
$request = Bitrix\Main\Application::getInstance()->getContext()->getRequest();
$result = new Result();
if ($request->get('FILE_ID') && $request->get('SIGN'))
{
$diskFileId = (int)$request->get('FILE_ID');
$sign = htmlspecialcharsbx($request->get('SIGN'));
try
{
$signer = new \Bitrix\Main\Security\Sign\Signer;
$signKey = \CIMDisk::GetFileLinkSign();
if (is_string($signKey))
{
$signer->setKey($signKey);
}
$sign = (int)$signer->unsign($sign);
}
catch (\Bitrix\Main\Security\Sign\BadSignatureException $e)
{
try
{
$signer = new \Bitrix\Main\Security\Sign\Signer;
$sign = (int)$signer->unsign($sign);
}
catch (\Bitrix\Main\Security\Sign\BadSignatureException $e)
{
}
}
if ($diskFileId === $sign)
{
$file = \Bitrix\Disk\File::getById($diskFileId);
if ($file !== null)
{
$fileId = $file->getFileId();
CFile::ViewByUser($fileId);
}
else
{
$result->addError(new Error('Missing file'));
if ($request->get('img') === 'y')
{
$errorImageSrc = 'iVBORw0KGgoAAAANSUhEUgAAAEsAAABiCAYAAAAY7S4UAAAN7UlEQVR4Xu1c
header('Content-type: image/png');
echo base64_decode($errorImageSrc);
}
}
}
else
{
$result->addError(new Error('Wrong signature or file id'));
}
}
else
{
$result->addError(new Error('Missing signature or file id'));
}
if (!$result->isSuccess())
{
foreach ($result->getErrorMessages() as $errorMessage)
{
$lastError = $errorMessage;
}
CHTTP::SetStatus('403 Forbidden');
header("BX-File-Error: $lastError");
}
CMain::FinalActions();
die();
Так же я обнаружила папку /pub/ и такие же строки в .access.php в нескольких сайтах, которые у нас регулярно обновляются, версия РНР там 7.4. И на которых нет признаков вирусов, да и поиск троянов ничего не находит.
Но и это ещё не всё. Такую же папку я нашла на нескольких наших сайтах, которые вообще на других серверах располагаются, у других хостеров, т.е. по идее, они вообще никак между собой не связаны.
В общем, я не могу найти закономерность. Может кто-то подскажет, в какую сторону копать?
)
