Взломаны сайты в честь дня конституции украины

Если не секрет, какой у вас хостер (если пользуетесь их услугами)?

G_117158064567874128672, Как создать правило iptables на данный список черных адресов, что бы тянул их сам от туда автоматически?

Это всё, конечно, так, если это VPS ) Когда нет рутовых прав, увы, .htaccess скорее единственный вариант. Ну и потом, ясное дело, что это неэффективно, когда у вас нагруженный веб-сайт с большим rps Но я думаю, в таких случаях сайт не работал бы на 1С Битрикс А в целом, ваше решение гораздо лучше, конечно. Ещё, как вариант, с помощью route можно их в blackhole запихнуть, раз есть root-е права, если логирование отброшенных пакетов не нужно файрволом Ну, а если у вас есть автономная система, и ваш сайт в её приделах, так на бордерах ещё проще заблочить по номеру AS

смотрю уже до фаервола добрались - молодцы

тогда уж рекомендую и fail2ban воткнуть ... брутфорсы пр ssh и ftp тоже до добра не доведут

Ответ службы поддержки Битрикс, может кому-то будет полезно:

В данном случае, это штатные файлы, которые создает система для своих нужд.
Создается специальный файл .access.php для предоставления доступа для системы во временной папке. Файл будет удален автоматически.

не понял - что это значит "в поиске C.A.S@shell выдает запрос" ?
т.е. любой человек может провалиться к Вам в такое терминальное окно и выполнить шелл команду?

Так всё что угодно. Работать с файлами, базой и т.д. заливать новые, удалять, редактировать...

угу ... ограничено только правами пользователя под которым работает веб демон на данном сервере и не дай бог это расширенные права

хотя и обычных уже достаточно чтоб сайт наглухо стереть, да и сервак положить думаю тоже

какой запрос ссылку на шелл находит?
получается, что этот шелл Яндекс проиндексировал - значит на него какая то ссылка указывала

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

всё верно - ищите уязвимости с помощью которых залили шел
попробуйте начать с даты создания файла, посмотрите по этому времени логи - POST запросы
прогоните антивирусом, поищите по признакам (выше в ветке выкладывали)
если движек Битрикс - обновите до актуальной версии
так же не помешает система контроля версий и какой нибудь автоматический контроль изменений в файлах

Ps
я ещё в 16м году для своих нужд сваял скрипт контроля файловых изменений на сервере  - до сих пор работает (по крону ночью - утром отчёт на мыло)
смотрю в свете последних событий скрипт довольно актуален

Дмитрий,

У 1С Битрикс были выявлены уязвимости в более старых версиях, в т.ч. в нашумевшем модуле голосования vote:

https://nvd.nist.gov/vuln/detail/CVE-2022-27228
https://bdu.fstec.ru/vul/2022-01141
https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
https://safe-surf.ru/upload/ALRT/ALRT-20220712.1.pdf

Эта бала одна из критических уязвимостей за последнее время. Багу пофиксили уже давно, начиная с версии v21.0.100 от 2022-03-04. Историю изменений модуля vote можно посмотреть тут. Текущая версия v23.0.0.  Кроме того, тогда многие рекомендовали помимо обновления 1С Битрикс обновить PHP до 7.4. На самом деле, разработчики сейчас советуют обновить до 8.1, даже выпустили пошаговую инструкцию по обновлению версии PHP - https://helpdesk.bitrix24.ru/open/17332020/

В 2022 г была еще одна уязвимость CVE-2022-43959, но для её эксплуатации надо иметь сконфигурированное сопряжение с AD/LDAP и иметь административные права в 1С Битрикс. Но и эту проблему уже устранили в модуле ldap в версии v23.100.0 от 2023-02-19. Историю изменений можно посмотреть тут.

В целом, все изменения 1С Битрикс публикуются тут: https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=ldap

Если смотреть текущие уязвимости, то свежих CVE пока на них нет, из чего можно сделать вывод, что пока все относительно тихо:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Bitrix

Обновите свой 1С Битрикс.