Извините, если повторяюсь, но не нашел ответ на такой вопрос - а если отдельно развернуть свежую установку Битрикс и на нее руками перенести файлы контента и БД - не быстрее ли это будет, чем лечить старую зараженную?
21.04.2023 11:29:21
после заражения никто не сталкивался с рассылкой спама с сервера? все вычистил, но вот хостеру жалобы начали поступать.
даже не знаю где искать источник, можете наводку дать? |
|
|
|
21.04.2023 12:23:32
В оперативной памяти сервера (перегрузить или убить процесс), кэш Битрикс вычистить
|
|
|
|
21.04.2023 14:39:21
спасибо, это все сделано.
|
|
|
|
21.04.2023 14:46:07
|
|||
|
|
24.04.2023 09:43:20
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.
|
|
|
|
24.04.2023 10:00:11
Советы по поиску смотрите в теме.
|
|||||||
|
|
24.04.2023 10:06:05
Наверное самый быстрый способ будет, написать обработчик события на создание пользователя, в него добавить лог, куда записать всё, до чего можно дотянуться, стэк вызовов в том числе, ну и блокировать создание естественно. Потом анализировать. Если конечно пользователя создают через API, а не напрямую в БД пишут. |
|||
|
|
24.04.2023 10:10:43
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал. PS ещё посмотрите агентов - может там зараза сидит |
|||||
|
|
24.04.2023 10:29:08
Через антивирус поправил все синтаксические кроме одной, а описания остальных ошибок вообще не нашел. Сравнивал с файлами бэкапа, все одно и тоже, нового или измененного кода не было. В файле tools.php жалуется на 17 строку.
|
|||||
|
|
24.04.2023 11:46:28
Признаюсь честно, не особо разбираюсь в управлении сайтом, по этому с логированием пока разбираюсь. Пример автоматически создающихся пользователей. Основной поток идет с IP 80.70.109.182 и 80.70.111.182 . Аккаунты создаются с правами администратора магазина, но войти боты в него не могут.
|
|
|
|
24.04.2023 11:51:38
я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную
логи надо смотреть на уровне веб-сервера (nginx, httpd) |
|
|
|
24.04.2023 12:04:29
Muz Vitrina, примеры пользователей, картинки с именами файлов, и т.д. никак здесь не помогут. Экстрасенсорными способностями здесь вряд ли кто-то обладает, и не видя содержимое ваших файлов, помочь вряд ли сможет.
Как минимум, как и посоветовал вам выше Алексей, настройте логирование POST запросов. Выше в теме вроде были примеры, как это сделать, или Дальше наблюдайте. Как только увидите, что снова появились новые пользователи, смотрите в лог. В нём найдёте по времени файл к которому обращались, а также увидите содержимое запроса. |
|
|
|
24.04.2023 12:44:15
для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов это уже даст пищу для анализа |
|
|
|
24.04.2023 12:56:18
новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты
|
|
|
|
24.04.2023 12:58:39
|
|||
|
|
24.04.2023 13:01:59
это врядли) но откуда нам знать что там за проект и что прописано в событиях юзера
|
|
|
|
24.04.2023 13:06:28
|
|||
|
|
25.04.2023 03:48:49
|
|||
|
|
25.04.2023 03:50:22
|
|||
|
|
25.04.2023 05:03:53
С регистрацией как администраторов вроде разобрался, один из администраторов мог случайно изменить в главном модуле группу при регистрации. Буду следить, не изменится ли параметр снова. В логах на сервере ничего странного не нашел, только попытки ботов регистрироваться. Логирование POST запросов по методу из сообщения Виталия Силина поставил, логов пока нет. Сайт вроде работает стабильно, осталить только ошибки по БД и с sale.ajax.locations, но это к теме не относится. Всем спасибо за помощь. Если в логах увижу что-то странное - сообщу.
|
|
|
|
25.04.2023 05:31:00
похоже никаких взломов и не было
![]() сделайте бэкап и "снимок" файлов сайта - не помешает |
|
|
|
25.04.2023 09:16:14
|
|||||||
|
|
26.04.2023 05:44:57
Ну а остальные ошибки скорее всего были из-за неопытности меня и моего коллеги. ![]() |
||||
|
|
|||