Взломаны сайты в честь дня конституции украины

Все верно. Физический сервер
Да, ни один пароль из ранее рабочих не подходит. Рутовый в том числе (не исключаю утрату рутового пароля)

OC не могу сказать, никто уже не помнит. А в консоли Bitrix vm appliance 7.4(с версией могу ошибаться)

Не спорю, но это для знающего человека 5 минут. Я с линуксом знаком ровно настолько, насколько ПТУшник с бозоном Хиггса. В любом случае, даже после удачного рута, я понятия не имею что делать дальше, чтоб это всё начало работать должным образом

Я отписался в первом сообщении. Находимся в г. Тюмень

Алексей Вдовин, если самостоятельно всё таки рутну серв. То удаленно решить проблему тоже не получится? Условно через какой нибудь zoho? Просто надежда на местных специалистов стремится к нулю

Ребята привет
Помогите..вот такая беда....как решить?

7865

13.03.2023   16:31:38

Попытка   внедрения PHP

$_SERVER["REQUEST_URI"]

82.145.222.221

/bitrix/templates/aspro_optimus/css/. ./images/arrows_big.png

/bitrix/templates/aspro_optimus/css/. ./images/arrows_big.png

и таких много

У меня аспро, интек, самописный.
Разницы нет походу. Это дыра именно где то в битриксе, а не решениях

У меня не Аспро, но тоже словил (на давно не обновлявшемся сайте, редакция Бизнес). Ломали похоже через editor.


Тут выше постили ссылку на PDF, где описаны векторы атаки. Аспро просто популярны, поэтому чаще попадаются сайты на них. Но от решения не зависит, факт.

ребят, ImunifyAV прислал отчёт что заражено 5 файлов на сайте, но при этом всё работает. Это вирусы или нет? Меня смущает дата внесения изменений аж 5 лет назад....

Ставил. Всё просто.
Пример скрипта для установки.
https://github.com/YogSottot/useful_scripts/blob/master/imunifyav/iav_setup­.sh

Потом делаете passwd _imunify
Задаёте пароль  к нему.
И используете этого пользователя для входа.
Входить по сылке https://домен_по_умолчанию/.imunifyav

Да, это вирусы. Мои примерно так же выглядели.

Неделю назад обещала написать, если проблему с вирусами решим. Решили, за неделю новых вирусов не появилось. Как решили:
Удалили старых пользователей под которыми работали сайты и старые базы данных. Создали новые. Подняли старые резервные копии (2-месячной давности), на них установили обновления. Сам сервер перезагружали, чтобы избавиться от лишних процессов, которые вирус запускал. К слову, восстановление резервной копии за неделю до обнаружения взлома со старым пользователем и со старой БД (поменяли только пароли к БД и пользователю) и последующая установка обновлений не помогли. Через пару дней после этого вирусы снова были на сайтах.
Выше кто-то писал про то, что можно сохранить старую базу, скачать к себе на компьютер папку upload, почистить её от вирусов и после восстановления старой резервной копии заменить папку upload и БД. Идея очень хорошая для тех, у кого на сайтах регулярно обновляется информация и важно ничего не потерять.

не факт, что ещё где-то бэкдор не притаился ... антивирус не всё находит

вручную поискать



хорошо находит бэкдоры "последней волны"

можно поискать base64_decode( и eval(  - но там много нормальных будет, анализировать долго

в кроне проверить, в агентах проверить, сменить signer_default_key



сменить пароли и как я выше написал ядро привести в порядок, слепок файлов ядра сделать, проект в гит залить (публичную часть)
при обновлении обновлять не только движек но и систему тоже (если виртуалка)

Ну как это не нашли информацию? Все есть в этой теме и по несколько раз.

1 и 4 файлы удалить. 2 и 3 править. Также еще поправить уязвимые файлы или обновиться. Иначе ситуация повторится.