| Цитата |
|---|
| написал: Всем привет! Буду рад любой помощи, получаю ошибку: Forbidden You don't have permission to access this resource. Apache/2.4.56 (Debian) Server at aurum-doors.pro Port 80 Всё вычистил, более ничего не появляется, /bitrix/admin/sale_order.php - не могу войти, где копать? |
|
Разработчикам |
Заражение сайтов
Заражение сайтов
Напишите в ТП Сотбита |
|||
|
|
|
|
Добрый день! Может кому поможет - заразили сайт на Аспро: Медицинский центр 2.0 (aspro.medc2). Обновлений к нему давно нет. Влезли через файлы \ajax\form.php и o \form\index.php отправляя им POST данные в ключ additional со строкой, которая при десериализации делает гадости - размещает файл в корне сайта. Сделали по инструкции с сайта Аспро:
"Для исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false]. Пример: Обязательно проверить директории: Плюс вначале файлов \ajax\form.php и o \form\index.php дали свою проверку на адекватность входящих данных. Попытки взлома продолжаются снова с частотой по несколько раз в час, но пока безуспешно. |
|
|
|
|
|
|||
|
|
|
|
Возможно кому-то будет полезно добавил вот такое правило (http.request.uri contains "wordpress") or (http.request.uri contains "wp")
в WAF cloudflare за час больше 100 ботов заблокировано которые туда ломились |
|
|
|
|
|
Всем привет.
подскажите, у меня почему-то антивирус ругается на файлы /ajax/getAjaxBasket.php /ajax/show_basket_top.php /ajax/item.php - тут вообще закомментировал содержимое, все-равно ругается, так же как и во всех остальных файлах |
|
|
|
|
|
Не забывайте после удаление вирусни проверять крон задачи, там висит скрипт на папку var/tmp или другие который грохает все крон задачи и делает всякие пакости дальше.
|
|
|
|
|
|
Может кто-нибудь подсказать, что делать, если периодически все-равно вирус просачивается и создаёт папку assets, сделал бэкап, поставил код в init.php, почистил сайт, но иногда создаётся папка assets с вируснёй
|
|
|
|
|
|
Муслим Садыгов, нужно смотреть логи в момент создания assets
|
|
|
|
|
|
Новая волна, новые файлы.
Страдают сайты на кракене, хамелеоне, фениксе. /home/bitrix/www/delpaths.php /home/bitrix/www/bitrix/themes/.default/public/panel_new/menus/.htaccess /home/bitrix/www/bitrix/themes/.default/public/panel_new/menus/test2.php /home/bitrix/www/bitrix/admin/htmleditor2/dyAYv/index.php /home/bitrix/www/bitrix/modules/translate/AXouw/index.php /home/bitrix/www/bitrix/html_pages/bcJ98/index.php /home/bitrix/www/bitrix/css/main/themes/blue/L7hdI/index.php /home/bitrix/www/bitrix/js/main/jquery/WjTV9/index.php /home/bitrix/www/bitrix/js/main/loader/src/index.php /home/bitrix/www/bitrix/js/main/QXeBd/index.php |
|
|
|
|
ну и конечно куча файлов с набором букв-цифр index.php не дал себя изменить, права стоят 444, при изменении или удалении файла - он создавался вновь (с вирусом) виновник - фоновый процесс php -f ..../httpd.conf - который по факту являлся вирусом. повычищал все хвосты, вроде завелось, но где дыра - не знаю. Битрикс последний с ключом |
|||
|
|
|
|
|||
|
|
|
|
|||||||
|
|
|
|
Дополнение. влазят через куки. __kraken_cart...... - эта кука в заголовке.
Сейчас код для защиты обновленный скину
|
|
|
|
|
|
|
Добавил обновление кода в пп3 -
Наблюдаем дальше
|
|
|
|
|
|
|
|||
|
|
|
на данный момент ситуация такая: 1. Попытки заражения есть. 2. Заражения нет. На данный момент работает. если придумают что новое эти школьники - будем смотреть P.S. кстати по результатам нового способа заражения - они научились linux командами пользоваться, не только PHP - растут  )))
|
|
|||||
|
|
|
|
Обновили код в пп3.
Без проверки существования функции получения заголовков блокировался запуск агентов cron.
|
|
|
|
|
|
PS обновил код, заработало. |
|||
|
|
|
|
|
|||||
|
|
|
|
|||||||
|
|
|
|
|
|||||||||
|
|
|
|
|||||||||
|
|
|
|
Сделали модуль по защите от внедрения вирусов.
На маркетплейсе думаю неделя-две модерация займет. Можно на гитхабе скачать и установить.
|
|
|
|
|
|
|
||||
|
|
|
|||
