Разработчикам

Взломаны сайты в честь дня конституции украины

Пользователь 577 Постоянный посетитель Сообщений: 198 Баллов: 37 Регистрация: 10.07.2004	#626 24.03.2023 17:02:04 У меня вылечилось удалением /bitrix/tools/spread.php ну и естественно удалением всего зараженного кода. Просто spread.php не определялся как проблемное место. -- С уважением Илья Щербаков.

Пользователь 7155480

Заглянувший

Сообщений: 5 Регистрация: 24.03.2023

#627

24.03.2023 20:57:48

Всех приветствую! На днях положили сайт, в индексном файле левый код был. Убрал, вошёл в панель управления Битрикса, там любая кнопка выдавала 403 ошибку, проблема была в .htaccess Теперь сайт работает, админ панель работает, ссылки на сайте работают, но вот когда в каталоге выбираешь товар - в адресной строке появляется нужный каталог, но грузится всегда главная страница, в чем может быть дело ещё? Спасибо

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#628

24.03.2023 21:04:26

Цитата

написал:
Всех приветствую! На днях положили сайт, в индексном файле левый код был. Убрал, вошёл в панель управления Битрикса, там любая кнопка выдавала 403 ошибку, проблема была в .htaccess Теперь сайт работает, админ панель работает, ссылки на сайте работают, но вот когда в каталоге выбираешь товар - в адресной строке появляется нужный каталог, но грузится всегда главная страница, в чем может быть дело ещё? Спасибо

Добрый вечер!

В корне должен быть .htaccess такого вида для обработки ЧПУ Битриксом.
Было подобное, теперь на старых проектах держу копию оригинального .htaccess как .htaccess.restore

Код

<IfModule mod_rewrite.c>
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
</IfModule>

Пользователь 1305583 Заглянувший Сообщений: 22 Баллов: 2 Регистрация: 03.08.2017	#629 26.03.2023 04:57:17 Проверьте еще помойку /upload/temp/ Если там есть папка типа BXTEMP-2023-03-XX - удалите. Если ваш хостер таймвеб, то все свои запущенные процессы можно прибить через их консоль ssh: killall -9 apache2 (это вместо перезапуска)

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#630

26.03.2023 11:09:26

Цитата
написал: Станислав Х, обновления актуальны?

к сожалению нет.

+ решение хамелеон не обновлялось
9 ИМ стоит.

Пользователь 7155480

Заглянувший

Сообщений: 5 Регистрация: 24.03.2023

#631

26.03.2023 13:18:24

Цитата

написал:

Цитата

Код

  < IfModule   mod_rewrite.c > 
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
 </ IfModule >

Благодарю за ответ, но не помогло. Что еще проверить? Или где почитать об ээтом? У меня в папке /bitix/ лежит urlrewrite.php с таким содержанием:

Код
<? include_once($_SERVER['DOCUMENT_ROOT'].'/bitrix/modules/main/include/urlrewrite.php'); if(file_exists($_SERVER['DOCUMENT_ROOT'].'/404.php')) include_once($_SERVER['DOCUMENT_ROOT'].'/404.php'); ?>

Пользователь 7162848

Заглянувший

Сообщений: 2 Регистрация: 28.03.2023

#632

28.03.2023 14:39:54

Цитата
написал: Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.

Подобные скрипты могут быть только сигнализаторами, что у вас появились зверята на сайте или сервере.В моей практике люди губили свои сайты (У тех у кого не были бэкпы) доверяя подобным скриптам, т.к. вредоносные кода оставались и завершали свои дела. Например ставили левые ссылки скрытые, после поисковики сайт понижали, удалил контент и тд.

Цитата

написал:
подскажите пожалуйста
надоело удалять зараженные фацлы в корне сайта
в папке админ они создаваться перестали

сегодня сайт ломанули он перестал открываться
востановил бекап все включилось

сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь?

Обращайтесь поможем вылечить сайт и защититься, телеграм - doktorsaitov

Удаление вирусов и защита сайта

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#633

28.03.2023 15:03:20

Цитата

написал:

Цитата

написал:

Цитата

Код

    <  IfModule     mod_rewrite.c  >  
  Options +FollowSymLinks
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-l
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
  RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
  RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization}]
  </  IfModule  >

Код

   <? 
 include_once ( $_SERVER [ 'DOCUMENT_ROOT' ]. '/bitrix/modules/main/include/urlrewrite.php' );
 if (file_exists( $_SERVER [ 'DOCUMENT_ROOT' ]. '/404.php' ))
    include_once ( $_SERVER [ 'DOCUMENT_ROOT' ]. '/404.php' );
 ?>

А в корне urlrewrite.php содержит правила обработки адреса Вашего каталога?

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#634

31.03.2023 16:36:17

момента заражения и лечения сайта всё было хорошо примерно неделю, сейчас ImunifyAV выдал следующее:

ID	Тип	Действие	Вердикт	Файл	Размер	Изменено
1	SRV	в исключения	SMW-SA-04693-php.spam.mailer-2	/bitrix/modules/bitrix.xscan/lang/ru/admin/help.php ...... BX%7}UnTZ}*5PXm '/</pre><br><pre class="xscan-code">if(isset($_POST[...	7 KB	2023-03-22 16:13:09

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#635 31.03.2023 17:15:36 Антон АК, не подскажите вкратце, как этот антивирус на БВМ установить? может где понятная инструкция есть? а то везде только про "установку" в ispmanager да cpanel..

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#636

31.03.2023 17:20:31

Цитата
написал: Антон АК, не подскажите вкратце, как этот антивирус на БВМ установить? может где понятная инструкция есть? а то везде только про "установку" в ispmanager да cpanel..

это со стороны хостера (infobox), в панели управления есть антивирус.

Пользователь 2624465 Заглянувший Сообщений: 6 Регистрация: 21.09.2020	#637 01.04.2023 18:48:17 подскажите что должно быть в оригинальном файле urlrewrite.php

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#638

04.04.2023 14:50:27

Цитата

написал:

Цитата
написал: Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.

Подтверждаю. За последние месяцы вылечил наверное под сотню взломанных сайтов.
Антивирусами смотрел, какой-то лучше находит, какой-то хуже, но в целом они находят не больше половины залитых/модифицированных файлов.

Только комплексно искать. Тем же find-ом например по изменению. И использовать не -mtime, а -ctime, так как у части файлов дата модификации оказывается в глубоком прошлом.

Удалённый системный администратор

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#639

06.04.2023 10:33:35

техподдержка Битрикс ответила так:
В отчете ImunifyAV указан файл, который не является вредоносным.

скажите, на фото всё-таки заражённый/вредоносный (спамм) файл или поддержка права и это ошибка антивируса?

Прикрепленные файлы

зараженные файлы 2.png (35.39 КБ)

Пользователь 7162848

Заглянувший

Сообщений: 2 Регистрация: 28.03.2023

#640

06.04.2023 16:00:03

Цитата
написал: ребят, ImunifyAV прислал отчёт что заражено 5 файлов на сайте, но при этом всё работает. Это вирусы или нет? Меня смущает дата внесения изменений аж 5 лет назад....

На дату не смотрите, ее можно выставить любую

Удаление вирусов и защита сайта

Пользователь 7125764

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 15.03.2023

#641

06.04.2023 16:25:37

Цитата

написал:

Цитата
написал: ребят, ImunifyAV прислал отчёт что заражено 5 файлов на сайте, но при этом всё работает. Это вирусы или нет? Меня смущает дата внесения изменений аж 5 лет назад....

На дату не смотрите, ее можно выставить любую

спасибо за ответ, этому сообщению несколько недель, актуальный вопрос на 1 сообщение выше. благодарю.

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#642

06.04.2023 21:37:47

Цитата
написал: Как победить 403 ошибку?

а файлы .htaccess вы все удалили, из всех папок?

Ибо

Код
<FilesMatch '.(py\|exe\|phtml\|php\|PHP\|Php\|PHp\|pHp\|pHP\|pHP7\|PHP7\|phP\|PhP\|php5\|suspected)$'> Order allow,deny Deny from all </FilesMatch>

как раз таки запрещает доступ к .php файлам. А код, который дальше, разрешает доступ только к определённым.

Вы обращаетесь к файлу /bitrix/admin/fileman_admin.php

Соответственно, если в корне, или в папке /bitrix/, или в папке /bitrix/admin/ будет .htaccess с таким кодом, то вы получите ошибку 403.

Удалённый системный администратор

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#643

12.04.2023 11:53:46

Цитата

написал:

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

О, у меня тоже атаки с выданных ip от aeza

Мы тоже слали репорт в Aeza, т.к. из их сетей много этого паразитного трафика, но эти чуваки из Краснодара уверенно молчат

И даже фраза о том, что мы оставляем за собой право обратиться в правоохранительные органы не помогает

Пока временный запрет через .htaccess всех их сетей из AS210644, плюс сети из OVH AS16276.

Через деобзфукатор на unphp.net можно увидеть, что льют WSO_VERSION 2.5 и простенькие бекдоры.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011 Сертифицированный партнер	#644 12.04.2023 12:08:18 Денис, льют на обновлённый движек? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#645

12.04.2023 12:19:33

Цитата
написал: Денис, льют на обновлённый движек?

К сожалению, старый, мы сейчас оплачиваем продление лицензии. Будем обновлять.

Коллеги, а сайты с 1С Битрикс вы как-то версионируете? Скажем, чтобы посмотреть что изменилось (вами или без вашего участия:). Если да, подскажите, что нужно исключать, можете написать с полными путями (? (1С Битрикс: Управление сайтом). Пока я предполагаю, что нужно исключать:
bitrix/cache/
bitrix/managed_cache/

P.S. Отдельное спасибо тем, кто увидел в чём изначально проблема - я про LFI2RCE via PHP Filters.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#646

12.04.2023 12:23:58

Цитата
Денис написал: Коллеги, а сайты с 1С Битрикс вы как-то версионируете?

нет, я /bitrix/ из гита убираю на всех проектах - уж больно тяжелая
по Вашему вопросу - ещё добавьте
bitrix/backup
bitrix/stack_cache

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#647

12.04.2023 12:25:22

Цитата
Денис написал: P.S. Отдельное спасибо тем, кто увидел в чём изначально проблема - я про LFI2RCE via PHP Filters.

о какой именно уязвимости речь (зараженный файл)?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 3770748

Заглянувший

Сообщений: 3 Регистрация: 17.12.2019

#648

13.04.2023 12:41:44

Подскажите, плиз, каждый день появляется в папке upload папка вида tmp/BXTEMP-2023-04-13
Битрикс обновлен до последней версии.
При сканировании системы на вирусы, обнаруживается вредоносный файл /upload/tmp/BXTEMP-2023-04-13/03/bxu/main/.access.php
Каждый день удаляю эту папку, но все равно появляется.

Что можно сделать? Как определить механизм и устранить его?

Пользователь 4828684 Заглянувший Сообщений: 2 Регистрация: 03.12.2020	#649 13.04.2023 18:06:53 .

Пользователь 4828684

Заглянувший

Сообщений: 2 Регистрация: 03.12.2020

#650

13.04.2023 18:20:00

Цитата

написал:
Подскажите, плиз, каждый день появляется в папке upload папка вида tmp/BXTEMP-2023-04-13
Битрикс обновлен до последней версии.
При сканировании системы на вирусы, обнаруживается вредоносный файл /upload/tmp/BXTEMP-2023-04-13/03/bxu/main/.access.php
Каждый день удаляю эту папку, но все равно появляется.

Что можно сделать? Как определить механизм и устранить его?

У меня данная папка появляется после загрузки на сайт чего либо, например при загрузке фотографий через визуальный редактор.
В файле код <?$PERM["рcf508cf16d9k8153897120650*****"]["*"]="X";?>, который к этому каталогу дает полные права всем пользователям.
Сама папка /upload/tmp/BXTEMP-2023-04-13 насколько я понимаю системная, она и должна создаваться при загрузке чего либо на сайт. Но сам файл /upload/tmp/BXTEMP-2023-04-13/03/bxu/main/.access.php подозрительный. Он разве должен раздавать полные права на этот каталог?
Или же это последствия бяки.
Все актуальные обновления на битрикс установлены.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером