Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#901

13.02.2024 16:41:43

Цитата

написал:

Цитата
Агзамов Раиль написал: Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь.

бесплатно?
если да, то вообще супер-вариант!

Да, помогли разобраться)

Пользователь 1364921

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 01.09.2017

#902

21.02.2024 10:42:54

Добрый день, подскажите на счет "Защита административной части"
У меня статический айпи, по этому у меня включена защита доступа к административной части.
И сегодня увидел попытку подбора пароля в журнале событий.

Посмотрел логи, все запросы с ipv4 были заблокированы, а вот с ipv6 код ответа 200.
ipv6

Код

2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:00 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 263 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"
2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:01 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 5056 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"
2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:01 +0300] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 213 "https://сайт.ру/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"

ipv4

Код

69.57.162.20 - - [21/Feb/2024:09:21:59 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 403 118 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36"
62.210.102.84 - - [21/Feb/2024:09:22:19 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 403 118 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36"

Собственно вопрос блокирует ли проактивная защита такие айпи адреса или это новая попытка взлома?Битрикс старой версии, не обновляется.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#903

21.02.2024 10:46:02

Цитата
Павел написал: Посмотрел логи, все запросы с ipv4 были заблокированы, а вот с ipv6 код ответа 200.ipv6

такое лучше в саппорте спросить

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#904

21.02.2024 16:04:22

Цитата
написал: Да, помогли разобраться)

А как помогли?
Какие рекомендации

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#905

20.06.2024 14:38:36

Приветствую!

Сегодня от 1С-Битрикс получили письмо https://disk.yandex.ru/d/8NkZXGpU-gZ1xA

Цитата

Проверьте наличие последней версии продукта. Если обнаружите, что установленная версия устарела, незамедлительно выполните обновление с помощью ответственного IT-специалиста или обратитесь за помощью к вашему партнеру.

Опять критическую уязвимость обнаружили? У кого то уже поломали сайты?

Пользователь 1947629 Эксперт Сообщений: 922 Баллов: 191 Регистрация: 18.04.2018	#906 20.06.2024 14:42:28 да, поломали вчера все, что на хостинге лежали

Пользователь 223987 Посетитель Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013	#907 20.06.2024 14:48:54 Сергей ., обновления когда последний раз устанавливали? Через что поломали не выяснили? Странно что в этой теме тишина, в прошлые массовые инциденты тут бурное обсуждение шло.

Пользователь 1148455

Заглянувший

Сообщений: 6 Регистрация: 16.05.2017

#908

20.06.2024 14:59:50

Вчера клиент обращался со взломом. У него была версия Битрикс начала этого года. Хостинг Бегет.

Но больше интересует что делать тем клиентам, которые по ряду причин застряли на php7.4 и их не обновить так просто. В каком файле уязвимость, как можно пофиксить?

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#909 20.06.2024 15:42:40 Кто-нибудь знает подробности?

Пользователь 515353

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 04.03.2016

#910

20.06.2024 16:15:44

Цитата
написал: Сегодня от 1С-Битрикс получили письмо https://disk.yandex.ru/d/8NkZXGpU-gZ1xA

Такое же письмо сегодня получил, но в списке обновлений Битрикса пусто. Или ещё не успели выпустить свежее обновление, или речь про старые уязвимости.

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#911 20.06.2024 18:15:27 Ничего нового не обнаружил в банке угроз https://bdu.fstec.ru/vul и на сайте Битрикс в разделе Центр информирования о необходимых обновлениях https://www.1c-bitrix.ru/vul/ Все стандартно. Прикрепленные файлы bus.png (49.57 КБ)

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#912

20.06.2024 18:17:11

Цитата
написал: Но больше интересует что делать тем клиентам, которые по ряду причин застряли на php7.4 и их не обновить так просто. В каком файле уязвимость, как можно пофиксить?

Даже на такие сайты с активной лицензии можно установить модуль проактивной защиты - есть обновление. Этого для защиты достаточно.

Пользователь 7754

Постоянный посетитель

Сообщений: 164 Баллов: 27 Регистрация: 07.12.2006

#913

20.09.2024 22:30:34

Сегодня от ТАЙМВЕБА пришло такое письмо:

Код

"Мы обнаружили, что один или несколько ваших сайтов, созданных на CMS «Битрикс», подверглись заражению вредоносным кодом.

Факт заражения может проявляться по-разному: злоумышленники могут подменять контент на сайте, рассылать спам, вести DDoS-атаки и так далее.
Чтобы устранить заражение и обезопасить свои сайты, рекомендуем как можно скорее выполнить следующие действия.

1. Подключитесь к серверу хостинга по SSH (инструкция) или откройте консоль в панели управления («Инструменты» → «SSH-консоль».

2. Проверьте сайт на наличие вредоносного кода. Для этого выполните поиск зараженных файлов с помощью команд:
find . -type f -exec md5sum {} + | grep "05d80c987737e509ba8e6c086df95f7d"
И:
find ./ Bitrix/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -rd

3. Удалите все обнаруженные файлы — они заражены.

4. Обязательно обновите CMS как минимум до версии 22.0.400 чтобы избежать дальнейшего заражения."

По SSH я этим запросом find . -type f -exec md5sum {} + | grep "05d80c987737e509ba8e6c086df95f7d" ничего не нашел.

У кого-нибудь есть подобная ситуация?

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#914

21.09.2024 05:18:05

какая подобная ситуация? что ничего не находит

я думаю у всех так должно быть

если серъезно, то указанный код односигнатурный, т.е. ищет только одну заразу, а их может быть очень много
к тому же тут по md5 ищет, т.е. любая минимальная модификация и всё - уже не найдёт

вторая строчка просто найдёт файлы содержащие Bitrix/public_html и изменённые за последний месяц (вроде так, сильно не вникал), это вообще могут быть и не вирусы, а то наудаляете не разобравшись

и вообще я бы удалять не торопился, куда нить лучше вне document_root перекинуть для изучения

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#915

21.09.2024 12:08:54

Цитата
написал: Сегодня от ТАЙМВЕБА пришло такое письмо:

Уже 100500 раз обсуждали, смотрите эту ветку по предыдущим событиям.
Если лень, то начните с проактивной защитой, которая есть по умолчанию в любой битрикс, начиная со Старта

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#916

27.02.2025 11:09:16

Цитата

написал:
Взломали так:Код2a12:5940:51d6::2 - - [09/Feb/2024:07:33:45 +0300] "GET /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 508794 "https://site.ru/bitrix/admin/" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:49 +0300] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 302 - "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%...; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:50 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%...; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/on.php HTTP/1.0" 200 7 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
То есть пост запросом на /bitrix/admin/fileman_file_upload.php

А как закрыть эту дыру?

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#917

27.02.2025 11:16:21

Антон Иванов, обновления движка актуальны?

это чего такое? /bitrix/admin/on.php

похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ...

в fileman_file_upload.php первая же строчка
$USER->CanDoOperation('fileman_upload_files')
т.е. при обращени юзер был авторизован

в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php");
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php");

а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть

ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#918

27.02.2025 11:46:15

Такой вопрос
Во всех мануалах по закрытию дыр указано, что для файлов:

Код

/bitrix/tools/upload.php
/bitrix/tools/mail_entry.php
/bitrix/modules/main/include/virtual_file_system.php
/bitrix/components/bitrix/sender.mail.editor/ajax.php
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
/bitrix/admin/site_checker.php

Перед функцией «require_once» добавить следующий код:

Код
if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); }

Но например в файле bitrix/tools/upload.php там идет всего 1 строка:

Код
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/tools/upload.php");?>

А в этом уже, на который ссылается, есть «require_once». Так в итоге нам куда этот защитный код вставлять?
В первый файл перед require, или в конечный файл перед require_once?

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#919

27.02.2025 11:47:58

Цитата

написал:
Антон Иванов, обновления движка актуальны?

это чего такое? /bitrix/admin/on.php

похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ...

в fileman_file_upload.php первая же строчка
$USER->CanDoOperation('fileman_upload_files')
т.е. при обращени юзер был авторизован

в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php");
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php");

а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть

ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел

Я лишь процитировал предыдущее сообщение несколько страниц назад. Проблема не моя, просто я на чужой проблеме хочу обезопасить себя.

Пользователь 13618 Эксперт Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011 Сертифицированный партнер	#920 27.02.2025 11:51:22 если у Вас движек актуален дополнительно ничего делать не нужно Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#921

27.02.2025 12:01:51

Цитата
написал: если у Вас движек актуален дополнительно ничего делать не нужно

А по верхнему сообщению https://dev.1c-bitrix.ru/support/forum/messages/forum6/topic147346/message760742/#message760742
можете ответить?
Движок НЕ актуален.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#922

27.02.2025 12:06:02

в самое начало вставьте, но я чёт сильно сомневаюсь в корректности такого совета по отношению к этим файлам

грубо говоря для всех этих файлов POST запросы будут заблокированы

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#923

27.02.2025 12:07:45

Цитата
Антон Иванов написал: Движок НЕ актуален.

имхо тогда смысла мало латать - в старых движках очень много дыр
а если сайт ломанули, там скорее всего бэкдоров везде и всюду понапихали

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#924

27.02.2025 12:18:47

Цитата
написал: грубо говоря для всех этих файлов POST запросы будут заблокированы

Не поломается ли функционал админки от такого блока?
Хотелось бы получить точный ответ

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#925

27.02.2025 12:20:01

именно поэтому я и написал

Цитата
Алексей Вдовин написал: сильно сомневаюсь в корректности такого совета по отношению к этим файлам

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером