Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 114926

Постоянный посетитель

Сообщений: 368 Баллов: 40 Регистрация: 13.08.2012

#651

14.04.2023 11:12:58

Извините, если повторяюсь, но не нашел ответ на такой вопрос - а если отдельно развернуть свежую установку Битрикс и на нее руками перенести файлы контента и БД - не быстрее ли это будет, чем лечить старую зараженную?

Пользователь 39589

Заглянувший

Сообщений: 3 Регистрация: 31.01.2017

#652

21.04.2023 09:04:25

Цитата

написал:
Извините, если повторяюсь, но не нашел ответ на такой вопрос - а если отдельно развернуть свежую установку Битрикс и на нее руками перенести файлы контента и БД - не быстрее ли это будет, чем лечить старую зараженную?

Не быстрее. Старые index файлы часто зараженные. Вот сейчас был пример. Вроде все файлы обнаружил и плюс модуль Поиск троянов еще нашел несколько файлов зараженных, а вот index.php в корне он не находил, а в нем был добавочный код для выполнения команд. Поэтому все php файлы удалялись, а за место них появлялись зараженные архивные файлы.
Нашел зараженный файл по конструкции вида:
"base64_decode("

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#653 21.04.2023 11:29:21 после заражения никто не сталкивался с рассылкой спама с сервера? все вычистил, но вот хостеру жалобы начали поступать. даже не знаю где искать источник, можете наводку дать?

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#654 21.04.2023 12:23:32 В оперативной памяти сервера (перегрузить или убить процесс), кэш Битрикс вычистить

Пользователь 47602 Посетитель Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009	#655 21.04.2023 14:39:21 спасибо, это все сделано.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#656

21.04.2023 14:46:07

Цитата
написал: спасибо, это все сделано.

Я так понимаю, что у вас нет доступа к серверу. Если нет доступа к серверу, то попросите хостера дать информацию, какой скрипт запускает рассылку

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#657

24.04.2023 09:43:20

Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#658

24.04.2023 10:00:11

Цитата
Или где возможно прячется код, который создает эти аккаунты?

Да, скорее всего где-то прячется.

Цитата
написал: Возможно как то это остановить/заблокировать?

Найти код и вычистить.

Советы по поиску смотрите в теме.

Цитата
написал: продолжают создаваться новые аккаунты ботов с правами администратора

Такое поведение ещё никто не описывал, готовых советов где именно поискать в Вашем случае нет - нужно анализировать, искать.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 153705

Постоянный посетитель

Сообщений: 151 Баллов: 31 Регистрация: 18.12.2012

#659

24.04.2023 10:06:05

Цитата

написал:
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.

Наверное самый быстрый способ будет, написать обработчик события на создание пользователя, в него добавить лог, куда записать всё, до чего можно дотянуться, стэк вызовов в том числе, ну и блокировать создание естественно. Потом анализировать.

Если конечно пользователя создают через API, а не напрямую в БД пишут.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#660

24.04.2023 10:10:43

Цитата

написал:

Цитата

По дате создания аккаунтов можно логи и сразу глянуть - может чего подозрительное в глаза бросится ...
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал.

PS ещё посмотрите агентов - может там зараза сидит

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#661

24.04.2023 10:29:08

Цитата
написал: PS ещё посмотрите агентов - может там зараза сидит

Агентов проверил, все чисто.
Через антивирус поправил все синтаксические кроме одной, а описания остальных ошибок вообще не нашел. Сравнивал с файлами бэкапа, все одно и тоже, нового или измененного кода не было.
В файле tools.php жалуется на 17 строку.

Код

<?php
/**
 * Class Tools
 * Project-specific functions class
 *
 * @author    Roman Shershnev <readytoban@gmail.com>
 * @version   1.0
 * @package   CodeCraft
 * @category  Tools
 * @copyright Copyright ВY 2015, Roman Shershnev
 */

namespace CodeCraft;

class Tools {

    public static void() {
        return NULL;
    }

}

Прикрепленные файлы

3.JPG (112.01 КБ)

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#662

24.04.2023 11:46:28

Признаюсь честно, не особо разбираюсь в управлении сайтом, по этому с логированием пока разбираюсь. Пример автоматически создающихся пользователей. Основной поток идет с IP 80.70.109.182 и 80.70.111.182 . Аккаунты создаются с правами администратора магазина, но войти боты в него не могут.

Прикрепленные файлы

22.JPG (19.07 КБ)

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#663

24.04.2023 11:51:38

я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную

логи надо смотреть на уровне веб-сервера (nginx, httpd)

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#664

24.04.2023 12:04:29

Muz Vitrina, примеры пользователей, картинки с именами файлов, и т.д. никак здесь не помогут. Экстрасенсорными способностями здесь вряд ли кто-то обладает, и не видя содержимое ваших файлов, помочь вряд ли сможет.

Как минимум, как и посоветовал вам выше Алексей, настройте логирование POST запросов. Выше в теме вроде были примеры, как это сделать, или вот вам вариант.

Дальше наблюдайте. Как только увидите, что снова появились новые пользователи, смотрите в лог. В нём найдёте по времени файл к которому обращались, а также увидите содержимое запроса.

Удалённый системный администратор

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#665

24.04.2023 12:44:15

для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов
это уже даст пищу для анализа

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 144171 Посетитель Сообщений: 30 Баллов: 4 Регистрация: 02.10.2012	#666 24.04.2023 12:56:18 новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#667

24.04.2023 12:58:39

Цитата
написал: новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты

с правами администратора магазина?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 144171 Посетитель Сообщений: 30 Баллов: 4 Регистрация: 02.10.2012	#668 24.04.2023 13:01:59 это врядли) но откуда нам знать что там за проект и что прописано в событиях юзера

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#669

24.04.2023 13:06:28

Цитата

А какая у вас редакция с номером версии 1С Битрикс?

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#670

25.04.2023 03:48:49

Цитата
написал: А какая у вас редакция с номером версии 1С Битрикс?

Редакция "Малый бизнес", по версии точно не скажу, но все модули и main обновлял до последней версии.

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#671

25.04.2023 03:50:22

Цитата
написал: это врядли) но откуда нам знать что там за проект и что прописано в событиях юзера

Ранее создавались боты, но без прав администратора. Их я в учет не беру, просто переодически чищу.

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#672

25.04.2023 05:03:53

С регистрацией как администраторов вроде разобрался, один из администраторов мог случайно изменить в главном модуле группу при регистрации. Буду следить, не изменится ли параметр снова. В логах на сервере ничего странного не нашел, только попытки ботов регистрироваться. Логирование POST запросов по методу из сообщения Виталия Силина поставил, логов пока нет. Сайт вроде работает стабильно, осталить только ошибки по БД и с sale.ajax.locations, но это к теме не относится. Всем спасибо за помощь. Если в логах увижу что-то странное - сообщу.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#673 25.04.2023 05:31:00 похоже никаких взломов и не было сделайте бэкап и "снимок" файлов сайта - не помешает Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#674

25.04.2023 09:16:14

Цитата

написал:

Цитата
написал: А какая у вас редакция с номером версии 1С Битрикс?

Редакция "Малый бизнес", по версии точно не скажу, но все модули и main обновлял до последней версии.

Цитата

написал:
С регистрацией как администраторов вроде разобрался, один из администраторов мог случайно изменить в главном модуле группу при регистрации. Буду следить, не изменится ли параметр снова. В логах на сервере ничего странного не нашел, только попытки ботов регистрироваться. Логирование POST запросов по методу из сообщения Виталия Силина поставил, логов пока нет. Сайт вроде работает стабильно, осталить только ошибки по БД и с sale.ajax.locations, но это к теме не относится. Всем спасибо за помощь. Если в логах увижу что-то странное - сообщу.

Как воркэраунд, я бы посоветовал ещё заблокировать через .htaccess AS210644 (AEZA GROUP LLC) и OVH (AS16276). Из этих сетей куча запросов идёт со сканами и попытками заражения. Конечно, это не решение, но снизит попытки взлома. См. правила для .htaccess тут:

https://pastebin.com/TbjTSn1r

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#675

26.04.2023 05:44:57

Цитата
написал: похоже никаких взломов и не было сделайте бэкап и "снимок" файлов сайта - не помешает

Взлом и заражение вирусом точно был, но как я сказал ранее, сайт будто "не доломали" . Признаки взлома и созданные файлы были как в обсуждении, но не создавались файлы Putin_***. Просто были повреждены основные файлы, такие как htaccess, index, settings
Ну а остальные ошибки скорее всего были из-за неопытности меня и моего коллеги.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером