|
Разработчикам |
|
|||||
|
|
|
|
Вот такие запросы наблюдаю в логах за последние несколько дней.
|
|||
|
|
|
|
до кучи - вот еще создали файл и агент для него httpdocs/bitrix/admin/bitrixcloud_unshrinkable.php
итого два агента - puti...ilo.php и этот но дата создания файла bitrixcloud_unshrinkable - это 2016й год. возможно ли менять ctime? |
|
|
|
|
Скорее всего, в этом файле @eval($_POST), я в такой же, но с другим названием, запихнул логирование запросов, хочу посмотреть какой код они через него будут закидывать. А вообще, лучше папку bitrix держать под отдельным репозиторием системы контроля версий. И подобные случаи изучать будет проще и устранять последствия и иногда интересно что в обновлении прилетело по изменениям в коде. |
|||
|
|
|
|
Всем привет.
Может кому пригодится. 30 июня был модифицирован файл /bitrix/modules/main/include/prolog.php было добавлена строка вызывающий сторонний js скрипт. Редиректило на некоторых страницах на Озон, кстати) Обновил ядро, отредактировал файл - всё ок. Как найти модифицированные файлы, если вы обновили ядро, поможет такая команда: find /home/ПУТЬ К ВАШЕЙ ПАПКЕ/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r т.е. ищет и сортирует измененные и новый файлы за последние 30 дней, кроме последнего дня. PS Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?) |
|
|
|
|
 |
|||
|
|
|
Для сохранения "лица" компании, они могли бы запустить хотя бы рассылку по партнерам с мерами для профилактики (кроме установки обновлений, которые не помогают) и инструкцию по устранению вредоносного кода. |
|||
|
|
|
/public_html/bitrix/js/main/core/core.js - в конце закодированное строка /public_html/bitrix/modules/main/include/prolog.php - в конце закодированная строка А еще все это и в кэш попало - чистим кэш |
|||
|
|
|
|
Доброго времени суток. Что делать если нет бэкапа сервера? Можно ли какие-то файлы перенести на другой не зараженный сервер?
Не могу найти подробной инструкции |
|
|
|
|
|
И в админку не могу зайти. Выдается ошибка Call to undefined function Bitrix\Main\DB\mysql_real_escape_string()
|
|
|
|
|
Напишите, посмотрим |
|||
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
Если после восстановления сайта + прогон скриптом поиска уязвимость + чистки того что нашли + чистки в агентах + блокировки запросов на nginx всё же продолжают создаваться файлы - индикаторы взлома, тут уже нужно анализировать логи на предмет времени обращения + поставить софт делающий снимки файловой системы рутовой директории на предмет изменения файлов и уже сравнивать, что когда изменилось и какие в это время были запросы на сервер.
PS В своё время нашел скриптик, немного модифицировали и использую до сих пор |
|
|
|
|
|
В идеале надо было Битриксу выкупить этот PDF с полными правами и "похоронить", чтобы он никогда в свет не вышел... очень уж серъёзный там материал выложен
|
|
|
|
|
Покупатели справедливо ожидают от вендора хотя бы оперативного и адекватного реагирования на подобные инциденты - иначе какой смысл покупать Битрикс, когда есть масса более популярных open source CRM? С точки зрения клиента, "тыкать ему носом" в то, что "в регламенте(договоре на предоставление в пользование программного продукта)" такого обязательства нет, это все равно что расстаться с репутацией надежного вендора. Поймите меня правильно, у многих людей бизнес встал из-за дыр, которые существовали годами, а сейчас в открытом доступе для всех желающих. О каком регламенте тут может идти речь? |
|||
|
|
|
Кстати глянул в файл \upload\tmp\BXTEMP-2022-06-28\16\bxu\main\53c192bfe9a0c9c89276900260cc38c3\1aabac6d068e /home/bitrix/www/upload/tmp/BXTEMP-2022-06-28/16/bxu/main/53c192bfe9a0c9c89276900260cc38c3/1aabac6d068e Вызов идет напрямую по IP т.е. идет перебор IP адресов. т.е. Если атаке подвергается только сайт у которого домен сконфигурирован на папку /home/bitrix/www/ Другие сайты, которые рядом по другому доменному имени не будут затронуты. |
|||
|
|
|
|
Получается адекватного решения нет, кроме бэкапов. А можно ли как-то например те же файлы и товары вытащить из старого сервера? Стоял интернет-магазин.
Еще нашел какие-то файлы в папке backup с форматом enc, пытался ими восстановить через файл restore.php, но после выбора файлов возникает ошибка 500 |
|
|
|
|
То есть у ВАС есть варианты но все *фантазийные ... |
|||||
|
|
|
Однако, именно ко мне обращаются клиенты с вопросами "почему так произошло?" и "что сделать, чтобы не допустить повторного взлома сайта?". Судя только по сообщениям в этой ветке - ломаются обновлённые сайты без кастомных модулей, т.е. "установка актуальных обновлений" НЕ решает проблему. Где искать инструкцию (полную) по защите системы от выявленных багов? И почему, собственно, ее где-то вообще нужно искать? Может быть вендор позаботиться об этом? Как об этом сообщить клиенту (обновления установили, но сайт все равно взломают...)? На этом я закончу данную дискуссию, все кто работают с реальными заказчиками прекрасно меня поймут. Вопрос о смене продукта у меня уже решен. |
|||
|
|
|
|
Вроде бы нет подтвержденных взломов обновленных продуктов. Нас вообще стороной обошло, все клиенты обновлены.
А есть продукты, которые не ломают? По моему опыту, битрикс довольно надежная в плане взлома, платформа. |
|||
|
|
|
|
У меня тоже взломали один сайт. Не знал, что это массовое явление.
мои проекты: | меня рекомендуют: | обо мне: | 1 час работы - 1400 руб.
|
|
|
|
|
|
|||
|
|
|
|
||||
|
|
|
|||
© 2001-2024 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 
Политика конфиденциальности