Если кому то поможет, то есть анализ уязвимостей по которому, насколько я вижу и идет взлом. По заверениям автора анализа доступа к уязвимостям на текущий момент нет, но я не проверял.
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
Доброго утра!
У кого-то этой ночью или сегодня, были траблы со с взломом, подобного характера? У меня тишина пока-что. |
|
|
|
|
 теперь ждем следующих крупных дат |
|||
|
|
|
|
Короче надо теперь график обновлений по украинскому праздничному календарю строить )
|
|
|
|
|
|
Вот для всех как залатать дыры:
: Если по каким-то причинам вы не можете выполнить обновление, то прикладываю инструкцию по ручному исправлению: /bitrix/tools/upload.php /bitrix/tools/mail_entry.php /bitrix/tools/vote/uf.php /bitrix/tools/html_editor_action.php /bitrix/admin/site_checker.php При первой же возможности выполните обновление платформы. Ручное исправление убирает только сам бэкдор, но без обновлений они могут появиться снова. |
|
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
Ребята, уходим в холивар.
Подскажите, die() по POST запросу не решает проблему? Можно и GET отправить, может файл в base64 кодернуть и т.д. Обновление я так понял не закрывает проблему так же? Судя по посту Нужно ждать обновления именно под эту уязвимость? Делаем бекапы чаще и ищем руками? А что искать будет понятно после очередного взлома? Битрикс, ждем широких жестов. |
|
|
|
|
Можно подробнее конкретно про эти файлы? Как через них происходит заражение и каким методом? |
|||
|
|
|
|
Коллеги,
собрал информацию из нескольких источников, уточнил в ТП Битрикс. Опубликовал краткую инструкцию как действовать: |
|
|
|
|
|
Есть ещё одна проблема в связи со взломом. Так как был доступ к таблице пользователей, то логины-пароли можно считать скомпрометированными. По хорошему, нужна рассылка всем пользователям с просьбой зайти по ссылке и поменять пароль.
При этом пароли поменять предварительно нужно всё равно, а рассылка - чтобы бедняги не удивлялись, почему старый проверенный пароль не работает. У кого есть идеи такого скрипта, который: 1) меняет пароли пользователям 2) формирует письмо со ссылкой на замену пароля. ? |
|
|
|
|
|
А есть инфа, обновление какой версии исправило эту уязвимость? Просто хочется знать, это мне повезло, или обнова спасла
|
|
|
|
|
|
Добрый день.
Есть еще проблема: Нашел на многих своих сайтах. Искал через SSH с помощью команды:
|
|||
|
|
|
|
|||
|
|
|
/home/bitrix/www/bitrix/admin/.htaccess Добавляем в файле правило. Если файла нет - создаем. <files ~="" "^(site_checker)\.php$="">deny from all </files> Это убивает админку наглухо. |
|||
|
|
|
Поправил. Сейчас в статье рабочие правила для htaccess написаны. |
|||||
|
|
|
На сайте есть форма обращений и можно писать на почту support@capyba.ru |
|||||
|
|
|
|
А чего, собственно, добиваются злоумышленники, подменив агент и добавив файл?
Входят в админку битрикса? Получают какой-то доступ к ней? Или это им показывает, что уязвимость есть, а дальше тем же методом можно другие файлы ломать? |
|
|
|
|
|
NGINX
# ломает загрузку файлов в ИБ location /bitrix/tools/upload.php { if ($request_method = POST ) { deny all; } } location /bitrix/tools/mail_entry.php { if ($request_method = POST ) { deny all; } } location /bitrix/tools/vote/uf.php { if ($request_method = POST ) { deny all; } } location /bitrix/tools/html_editor_action.php { if ($request_method = POST ) { deny all; } } location /bitrix/admin/site_checker.php { if ($request_method = POST ) { deny all; } } |
|
|
|
|
Получают возможно выполнить свой php код. С помощью своего кода подменяют главную страницу, удаляют данные из базы и размещают дополнительные shell скрипты для возможности простого повторного заражения. |
|||
|
|
|
|
|||
|
|
|
|
|||||
|
|
|
|
аналог для nginx из поста выше с описанием комплекса мер по предотвращению атак.
location ~* ^/bitrix/tools/(html_editor_action|mail_entry|upload)\.php$ { deny all; } location ~* ^/bitrix/tools/vote/uf\.php$ { deny all; } location ~* ^/bitrix/components/bitrix/sender\.mail\.editor/ajax\.php$ { deny all; } location ~* ^/bitrix/admin/site_checker\.php$ { deny all; } Можно скомпоновать с постом , проверяя еще типа запроса. |
|
|
|
|
например /bitrix/tools/putin_***lo.php в самом простом случае в файле вызывается функция eval в которую передаются данные из $_REQUST переменно. При обращении к этому файлу в _REQUST передается код который нужно выполнить. получается заражение сайта в несколько шагов: 1. используется уязвимость что бы залить файл с возможностью его выполнить. 2. в загруженный файл передаются команды на выполнение. |
|||||
|
|
|
||||
