Разработчикам

Взломаны сайты в честь дня конституции украины

RSS

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#151

02.07.2022 06:56:55

Цитата

написал:

Код

   <? 
AddEventHandler( "main" ,  "OnBeforeProlog" ,  "CriticalVulnFix" , - 1 );

  function   CriticalVulnFix  () 
{ 
     if  (is_array( $_FILES ) && ! empty ( $_FILES ) && ! $GLOBALS [ 'USER' ]->IsAdmin()) {
         $GLOBALS [ 'APPLICATION' ]->RestartBuffer();
        http_response_code( 400 );
         exit ;
    }
}

Я правильно понял, что дело в загрузке файла и открытие его не понятно каким образом на исполнение php скрипта. Тогда вот костыль что только админ может загружать файл.

Что будет при попытке создания файла кэша? А если в кроне?

www.alfoweb.ru

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#152

02.07.2022 11:13:30

Вот такие запросы наблюдаю в логах за последние несколько дней.

Код

185.180.199.209 - - [27/Jun/2022:22:23:41 +0300] "GET /bitrix/admin/index.php HTTP/1.0" 200 24076 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:01:57:01 +0300] "GET /bitrix/tools/vote/uf.php HTTP/1.0" 200 667 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:05:19:02 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.0" 200 916 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:05:19:03 +0300] "POST /bitrix/tools/vote/uf.php?attachId%5BENTITY_TYPE%5D=CFileUploader&attachId%5BENTITY_ID%5D%5Bevents%5D%5BonFileIsStarted%5D%5B%5D=CAllAgent&attachId%5BENTITY_ID%5D%5Bevents%5D%5BonFileIsStarted%5D%5B%5D=Update&attachId%5BMODULE_ID%5D=vote&action=vote HTTP/1.0" 200 2915 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:06:53:50 +0300] "GET /bitrix/tools/putin_huilo.php HTTP/1.0" 404 47905 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"

Пользователь 77251 Заглянувший Сообщений: 25 Баллов: 2 Регистрация: 30.11.2010	#153 02.07.2022 11:33:46 до кучи - вот еще создали файл и агент для него httpdocs/bitrix/admin/bitrixcloud_unshrinkable.php итого два агента - puti...ilo.php и этот но дата создания файла bitrixcloud_unshrinkable - это 2016й год. возможно ли менять ctime?

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#154

02.07.2022 13:02:08

Цитата
написал: до кучи - вот еще создали файл и агент для него httpdocs/bitrix/admin/bitrixcloud_unshrinkable.php итого два агента - puti...ilo.php и этот но дата создания файла bitrixcloud_unshrinkable - это 2016й год. возможно ли менять ctime?

Я не изучал, но, вроде как, можно изменить дату файла и это не такая уж большая проблема.
Скорее всего, в этом файле @eval($_POST), я в такой же, но с другим названием, запихнул логирование запросов, хочу посмотреть какой код они через него будут закидывать.

А вообще, лучше папку bitrix держать под отдельным репозиторием системы контроля версий. И подобные случаи изучать будет проще и устранять последствия и иногда интересно что в обновлении прилетело по изменениям в коде.

Пользователь 583239

Заглянувший

Сообщений: 3 Регистрация: 12.05.2016

#155

02.07.2022 16:49:24

Всем привет.
Может кому пригодится.
30 июня был модифицирован файл
/bitrix/modules/main/include/prolog.php
было добавлена строка вызывающий сторонний js скрипт. Редиректило на некоторых страницах на Озон, кстати)
Обновил ядро, отредактировал файл - всё ок.
Как найти модифицированные файлы, если вы обновили ядро, поможет такая команда:
find /home/ПУТЬ К ВАШЕЙ ПАПКЕ/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
т.е. ищет и сортирует измененные и новый файлы за последние 30 дней, кроме последнего дня.

PS
Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)

Пользователь 1947629

Эксперт

Сообщений: 922 Баллов: 191 Регистрация: 18.04.2018

#156

02.07.2022 18:46:03

Цитата
написал: PS Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)

о повод для конспирологии, эт я люблю

Пользователь 10632

Заглянувший

Сообщений: 6 Регистрация: 02.04.2007

#157

03.07.2022 00:36:10

Цитата
написал: написал:PSИнтересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)о повод для конспирологии, эт я люблю

Интереснее другой вопрос - когда Битрикс закроет дыры в своем софте, т.к. проблема носит массовый характер?
Для сохранения "лица" компании, они могли бы запустить хотя бы рассылку по партнерам с мерами для профилактики (кроме установки обновлений, которые не помогают) и инструкцию по устранению вредоносного кода.

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#158

03.07.2022 15:13:30

Цитата
написал: find /home/ПУТЬ К ВАШЕЙ ПАПКЕ/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Еще смотрим
/public_html/bitrix/js/main/core/core.js - в конце закодированное строка
/public_html/bitrix/modules/main/include/prolog.php - в конце закодированная строка
А еще все это и в кэш попало - чистим кэш

www.alfoweb.ru

Пользователь 6406232 Заглянувший Сообщений: 2 Регистрация: 03.07.2022	#159 03.07.2022 21:41:13 Доброго времени суток. Что делать если нет бэкапа сервера? Можно ли какие-то файлы перенести на другой не зараженный сервер? Не могу найти подробной инструкции

Пользователь 6406232 Заглянувший Сообщений: 2 Регистрация: 03.07.2022	#160 03.07.2022 21:44:39 И в админку не могу зайти. Выдается ошибка Call to undefined function Bitrix\Main\DB\mysql_real_escape_string()

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#161

03.07.2022 22:06:28

Цитата
написал: жно ли какие-то файлы перенести на другой не зараженный сервер?

Если нет бекапа бд, то могут быть серьёзные проблемы, гайда такого нет.
Напишите, посмотрим web@urlvir.ru

Пользователь 6164690

Постоянный посетитель

Сообщений: 82 Баллов: 13 Регистрация: 12.04.2022

#162

03.07.2022 22:55:22

Цитата
написал: Руслан Громов они могли бы запустить

а есть такое в регламенте(договоре на предоставление в пользование программного продукта)?

Пользователь 338940

Заглянувший

Сообщений: 2 Регистрация: 20.05.2015

#163

04.07.2022 17:41:07

Цитата
написал: bitrix/modules/main/include/prolog.php Рекомендую проверить эти вещи тоже.

Нашли у себя такой код от 30.06

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#164

05.07.2022 08:33:12

Если после восстановления сайта + прогон скриптом поиска уязвимость + чистки того что нашли + чистки в агентах + блокировки запросов на nginx всё же продолжают создаваться файлы - индикаторы взлома, тут уже нужно анализировать логи на предмет времени обращения + поставить софт делающий снимки файловой системы рутовой директории на предмет изменения файлов и уже сравнивать, что когда изменилось и какие в это время были запросы на сервер.

PS
В своё время нашел скриптик, немного модифицировали и использую до сих пор http://gtalex.ru/skript-proverki-izmenenij-fajlov-na-servere

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#165

05.07.2022 08:53:16

В идеале надо было Битриксу выкупить этот PDF с полными правами и "похоронить", чтобы он никогда в свет не вышел... очень уж серъёзный там материал выложен

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 10632

Заглянувший

Сообщений: 6 Регистрация: 02.04.2007

#166

05.07.2022 16:23:58

Цитата
написал: а есть такое в регламенте(договоре на предоставление в пользование программного продукта)?

Дмитрий, продукт коммерческий и используется в основном для коммерческой деятельности (интернет-магазины, корпоративные сайты).

Покупатели справедливо ожидают от вендора хотя бы оперативного и адекватного реагирования на подобные инциденты - иначе какой смысл покупать Битрикс, когда есть масса более популярных open source CRM?

С точки зрения клиента, "тыкать ему носом" в то, что "в регламенте(договоре на предоставление в пользование программного продукта)" такого обязательства нет, это все равно что расстаться с репутацией надежного вендора.

Поймите меня правильно, у многих людей бизнес встал из-за дыр, которые существовали годами, а сейчас в открытом доступе для всех желающих. О каком регламенте тут может идти речь?

Пользователь 6410208

Заглянувший

Сообщений: 5 Регистрация: 05.07.2022

#167

05.07.2022 18:16:54

Цитата
написал: В идеале надо было Битриксу выкупить этот PDF с полными правами и "похоронить", чтобы он никогда в свет не вышел... очень уж серъёзный там материал выложен

А что за PDF ? Он разве в открытом доступе.
Кстати глянул в файл
\upload\tmp\BXTEMP-2022-06-28\16\bxu\main\53c192bfe9a0c9c89276900260cc38c3\1aabac6d068eef6a7bad3fdf50a05cc8\.log
/home/bitrix/www/upload/tmp/BXTEMP-2022-06-28/16/bxu/main/53c192bfe9a0c9c89276900260cc38c3/1aabac6d068eef6a7bad3fdf50a05cc8/default

Вызов идет напрямую по IP т.е. идет перебор IP адресов. т.е. Если атаке подвергается только сайт у которого домен сконфигурирован на папку /home/bitrix/www/

Другие сайты, которые рядом по другому доменному имени не будут затронуты.

Пользователь 6207690

Заглянувший

Сообщений: 1 Регистрация: 05.07.2022

#168

05.07.2022 19:24:25

Получается адекватного решения нет, кроме бэкапов. А можно ли как-то например те же файлы и товары вытащить из старого сервера? Стоял интернет-магазин.

Еще нашел какие-то файлы в папке backup с форматом enc, пытался ими восстановить через файл restore.php, но после выбора файлов возникает ошибка 500

Пользователь 6164690

Постоянный посетитель

Сообщений: 82 Баллов: 13 Регистрация: 12.04.2022

#169

06.07.2022 11:10:57

Руслан Громов

Цитата
О каком регламенте тут может идти речь?

Цитата
они могли бы запустить хотя бы рассылку по партнерам с мерами для профилактики

То есть у ВАС есть варианты но все *фантазийные ...

Пользователь 10632

Заглянувший

Сообщений: 6 Регистрация: 02.04.2007

#170

06.07.2022 12:52:00

Цитата
написал: То есть у ВАС есть варианты но все *фантазийные ...

Я не вендор, а разработчик, поэтому это НЕ моя обязанность проводить экстренные мероприятия / придумывать PR-рассылки / проводить аудиты безопасности продукта и т.д.

Однако, именно ко мне обращаются клиенты с вопросами "почему так произошло?" и "что сделать, чтобы не допустить повторного взлома сайта?".

Судя только по сообщениям в этой ветке - ломаются обновлённые сайты без кастомных модулей, т.е. "установка актуальных обновлений" НЕ решает проблему.

Где искать инструкцию (полную) по защите системы от выявленных багов? И почему, собственно, ее где-то вообще нужно искать? Может быть вендор позаботиться об этом?

Как об этом сообщить клиенту (обновления установили, но сайт все равно взломают...)?

На этом я закончу данную дискуссию, все кто работают с реальными заказчиками прекрасно меня поймут. Вопрос о смене продукта у меня уже решен.

Пользователь 609443

Эксперт

Сообщений: 363 Баллов: 76 Регистрация: 07.06.2016

#171

06.07.2022 14:10:28

Вроде бы нет подтвержденных взломов обновленных продуктов. Нас вообще стороной обошло, все клиенты обновлены.

Код
Вопрос о смене продукта у меня уже решен.

А есть продукты, которые не ломают? По моему опыту, битрикс довольно надежная в плане взлома, платформа.

Пользователь 14571

Эксперт

Сообщений: 795 Баллов: 169 Регистрация: 10.08.2007

#172

06.07.2022 14:33:27

У меня тоже взломали один сайт. Не знал, что это массовое явление.

мои проекты: https://blog.sokov.org/category/dhynedhdhudhnn/ | меня рекомендуют: https://blog.sokov.org/recommendations/ | обо мне: https://spb.hh.ru/resume/9f303161ff02e561e20039ed1f654846726333 | 1 час работы - 1400 руб.

Пользователь 496397

Посетитель

Сообщений: 42 Баллов: 6 Регистрация: 17.02.2016

#173

07.07.2022 07:06:39

Цитата
А есть продукты, которые не ломают? По моему опыту, битрикс довольно надежная в плане взлома, платформа.

Вопрос не в том ломают или нет, а в том, что люди платят деньги за поддержку, которой фактически, можно сказать и нет.

Пользователь 6410208

Заглянувший

Сообщений: 5 Регистрация: 05.07.2022

#174

07.07.2022 09:45:04

Цитата

написал:
Получается адекватного решения нет, кроме бэкапов. А можно ли как-то например те же файлы и товары вытащить из старого сервера? Стоял интернет-магазин.

Еще нашел какие-то файлы в папке backup с форматом enc, пытался ими восстановить через файл restore.php, но после выбора файлов возникает ошибка 500

Взлом уничтожил инфоблоки. У меня атаке подверглось три сайта. Только в одном сайте все ИБ удалены, а заказы, клиенты остались. У клиентов только пароли сменены включая админа. Поэтому без бэкапа никак не восстановить. Вирус мог и все базы грохнуть)) Парни мне очень хотелось бы понять как это произошло, но, к сожалению Битрикс утверждает только одно дыра устранена обновляйтесь. Но не все сайты можно обновить. Действительно, клиент уже заморочил вопросами как обезопасится. Увы. Если есть какая либо инфа я буду признателен. Пока что понял изза истории гит чтобы было изменено instanceof => is_a

Пользователь 6410208 Заглянувший Сообщений: 5 Регистрация: 05.07.2022	#175 07.07.2022 09:49:36 Со старого сервака можно воспользоваться экспортом ИБ, он восстановит структуру но естественно последних товаров не будет.

Взломаны сайты в честь дня конституции украины

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером