| Цитата |
|---|
| Антон Иванов написал: Хотелось бы получить точный ответ |
врят ли за Вас кто-то будет проводить эту аналитическую работу
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
врят ли за Вас кто-то будет проводить эту аналитическую работу |
|
|
|
|
|
Новая волна взлома через дыру в аспро и через дыру в модуле Экспорт/Импорт товаров в Excel (esol.importexportexcel)
Выпущены патчи Для аспро:
Для esol.importexportexcel
Патч можно взять на странице модуля |
|||||
|
|
|
|
От Битрикс:
В рамках проекта «Безопасные интеграции» Центр мониторинга инцидентов «1С-Битрикс» изучает случаи взломов сайтов, эксплуатирующих уязвимости в подключаемых решениях, созданных сторонними компаниями-разработчиками. В марте 2025 года мы хотим обратить внимание на пока ещё единичные случаи взломов сайтов, использующих устаревшие версии следующих решений: ⚡️От компании «eSolutions»: «Многофункциональный экспорт/импорт в Excel» «Экспорт/Импорт товаров в Excel» «Импорт из XML, YML, JSON. Загрузка каталога товаров» «Массовая обработка элементов инфоблока (товаров)» ⚡️От компании «Маяк»: «Экспорт в Excel. Выгрузка каталога товаров. Создание прайс-листа» «Импорт из Excel. Загрузка каталога товаров» Под угрозой снова оказались сайты, владельцы которых не обновляли эти решения последние несколько лет. По нашим данным, разработчик исправил уязвимости в 2023 году, а также выпустил патчер. Однако некоторые владельцы сайтов пренебрегли обновлением. |
|
|
|
|
|
.delete
|
|
|
|
|
|
patch-47a14c2710.php много таких файлов. Это системный или вредный ? Проактивная защита и поиск Троянов определяют как критическую ошибку и как подозрительный.
|
|
|
|
|
|
|
|||
|
|
|
|
На днях лечил сайтик с Аспро - такого количества бэкдоров я ещё не видел!
Причём сама лицензия на Битрикс актуальна - движек отностительно недавно обновлен, а вот на решение клиент денежек видимо зажал. Ну и как результат - "заходи кто хочешь, бери что хочешь"... Аспро пофиксил, что можно пролечил - но тут гарантию уже не даш, т.к. найти замаскированные бэкдоры в таком количестве файлов дело не простое. Паблик скриптики можно и вручную "пройти", со стороны движка вся надежда на инструмент "файлы ядра не модифицировались". Ну и надеюсь в Аспро кроме того, что пофиксил больше ничего не дыряво. Плюс на fail2ban всяких ловушек повесил от сканирования уязвимостей - всё посложнее будет сканить, да и сайту полегче без такого трафика. |
|
|
|
|
чтобы повторного заражения не было. и если не один сайт в изолированной среде - на них тоже. они могут быть заражены тоже или через них заражение.
|
|
|||
|
|
|
|
глянул я модуль, я в "обсуждение" на маркетплейсе уже написал
имхо такие сигнатуры, причём прибитые хардкодом на боевом сайте выглядят очень рисковано к примеру - 'echo' может легко в качестве подстроки в теле какого нить полезного post запроса присутствовать на сайт о котором выше писал модуль поставил, там контент редко меняют - понаблюдаю ... в целом то модуль полезный, хакерские запросы режет в идеале придумать бы как анализировать тело POST запросов где нить пораньше - например на уровне nginx и блочить на уровне фаервола с занесением в блэклист - сейчас модуль сработает только с уже подключенным прологом Битрикса |
|
|
|
|
Оба могут мониторить логи nginx на наличие сигнатур через regexp |
|||
|
|
|
|
Во первых - логи. А логи это уже постфактум.
Во вторых тело POST запроса не логируется. Тут важнее во-первых. |
|
|
|
|
$request_body добавить можно Тут есть пример |
|||||
|
|
|
|
|
|||||||
|
|
|
|
интересно, но опять же - это жесть, такое на прод нельзя (или очень осторожно)
в отправке сообщения на форум в теле все эти сигнатуры легко могут встретиться, например вот в этой ветке |
|
|
|
|
Это блин unserialize без второго параметра нельзя на прод, исполнение файлов из реквестов нельзя на прод (да даже на дев нельзя). а блокировки и в модуле и в nginx работают прекрасно и исправляют то что уже наворочено не нами. Если что то не нравится в сигнатурах - можно всегда в коде поменять или вообще не использовать - никто же не заставляет. Есть вообще простой блок кода - где то публиковал тоже здесь. там настраиваете как нужно и все.
|
|
|||
|
|
|
|
Алексей, Вы публикуете в маркете готовое решение в виде модуля, где нет возможности поправить сигнатуры и рекомендуете зайти поправить в коде?!
Хм... Забавно PS Допилите эту возможность, дел то на полчаса максимум. Я придерживаюсь идеологии "не навредить", поэтому и предупреждаю о возможных последствиях. |
|
|
|
|
|
Да, Алексей Вдовин, именно так для бесплатного модуля, который никто за 3 года взломов не додумался сделать - публикую чтобы закрыть имеющиеся дыры в первую очередь, а после дорабатывается по запросам. а по поводу не навреди... хм. ну здесь вам надо врачам реаниматологам это сказать тоже, которые при запуске сердца без аппарата могут и ребра сломать ибо есть приоритеты - пара ребер или жизнь пациента.
в тудушке кстати есть на гитхабе это все что говорим.
|
|
|
|
|
|
|
Алексей, если сайт уже заражён - Ваш модуль как мёртвому припарка.
Если чист, достаточно обновится до актуальных версий. Лечить нужно не следствия, я причины. Думаю смысла продолжать дискуссию нет, Вы что то совсем уж нервно реагируете на замечания. То код поправить, то в гитхабе посмотреть... Я так полагаю основные клиенты для Вашего модуля это обычные пользователи, врят ли обладающие такими компетенциями. А те что обладают, вряд ли доведут сайт до такого дырявого состояния. |
|
|
|
|
|
Алексей Вдовин, дискутировать действительно не о чем. то что написали - ваше мнение. Есть реальность, в которой и работаем, и в этой реальности модуль защищает сайты и с обновлениями и без обновлений и новых и старых версий.
От вас же я пока ничего кроме критики не слышал. такое да, раздражает, т.к. это всего лишь разговоры, не имеющее к каким-то действиям отношения. про принцип "критикуешь-предлагай. предлагаешь - делай" слышали?
|
|
|
|
|
|
|
Алексей, не пойму - что Вы мне предлагаете делать?
Я указал, что для использования модуля нужно понимание принципа работы и возможные последствия. Приведу конкретный кейс - у меня на обслуживании есть клиент с it форумом, где сигнатрура echo сплошь и рядом. Поиском по сайту нашлось более 12 страниц результатов. Ставим модуль, активируем защиту. Поиск по echo сразу даёт Hacker, stop! Пишу пост с echo - получаю "Hacker, stop!" причём на чисто белом полотне. Рядовой пользователь будет несколько обескуражен ... Ну и соответственно все эти посты которые были сделаны с вхождением echo с модулем никогда не были бы опубликованы. И это уже не просто моё мнение - это факты. К этому форуму, кстати, и непосредственно к этому посту - это тоже относится. По итогу от такой "защиты" получаем только вред... Без модуля в данном кейсе значительно лучше. Это я всё вообще к Вашему совету "...После лечения (или в процессе лучше) модуль ставьте..." И да - думаю это ответ к Вашему заявлению почему за 3 года взломов не догадались сделать такую мощную защиту. Одно лечим - другое калечим  |
|
|
|
|
|
В тоже время другому клиенту на сайт "визитку", я с удовольствием модуль установил - там я спокоен.
|
|
|
|
|
Прямо сейчас например с 18-й версией битрикса адаптировал модуль чтобы не лезли.
|
|
|||
|
|
|
|
Да не - я не так критично, что прям нельзя ставить. Можно и нужно, но учитывая принципы работы.
В целом модуль полезен, это бесспорно. К тому же с тенденцией последних лет - то одна волна взломов, то другая. Думаю на 90% сайтов можно смело ставить в текущем виде, а доработаете - так и на все 100% с должной настройкой. |
|
|
|
|
 ну и хорошо что нашли общий язык.Надеюсь сегодня-завтра уже обновление допилю. Как раз может успеют в несколько ловушек расставленных на паре сайтов "товарищи которые не товарищи" попасть чтобы новые способы заражения определить и перекрыть.
|
|
||||
|
|
|
|||
