Разработчикам

Заражение сайтов

RSS

Заражение сайтов

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#251

14.04.2025 19:35:42

Цитата

написал:

Цитата
написал: Сделали модуль по защите от внедрения вирусов. На маркетплейсе думаю неделя-две модерация займет. Можно на гитхабе скачать и установить. https://github.com/AmminaSolutions/ammina.stopvirus

Подскажите как добавить исключение, /bitrix/tools/sale_ps_result.php перестали проходить платежи yookassa.ru

У вас в модуле на странице запросов должен быть запрос к данному URL - можете данные скопировать (POST/Query/Headers) и на support@ammina.ru прислать - проверим почему срабатывает и включим в исключения обработку таких запросов

Про вирус | Модуль защиты

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#252

14.04.2025 19:46:49

Цитата

написал:

Цитата
написал: Сделали модуль по защите от внедрения вирусов. На маркетплейсе думаю неделя-две модерация займет. Можно на гитхабе скачать и установить. https://github.com/AmminaSolutions/ammina.stopvirus

Подскажите как добавить исключение, /bitrix/tools/sale_ps_result.php перестали проходить платежи yookassa.ru

Проверил у нас прохождение ответа от юкассы - все ок. срабатывания нет. ждем от вас, Олег, данные, на которые срабатывание было и добавим в обработке

Про вирус | Модуль защиты

Пользователь 301

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 03.02.2004

#253

14.04.2025 21:24:14

Цитата
написал: ждем от вас

Отправили.

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#254

14.04.2025 22:36:35

Цитата

написал:

Цитата
написал: ждем от вас

Отправили.

Добавлю завтра или послезавтра возможность указать страницы-исключения и правила для отдельных страниц.

Про вирус | Модуль защиты

Пользователь 5813166

Заглянувший

Сообщений: 2 Регистрация: 19.02.2025

#255

21.04.2025 20:53:00

Цитата
написал: Сделали модуль по защите от внедрения вирусов. На маркетплейсе думаю неделя-две модерация займет. Можно на гитхабе скачать и установить. https://github.com/AmminaSolutions/ammina.stopvirus

а он поддерживает php 7.4? просто дело в том, что Битрикс давно не обновлялся, а аспро там стоит древняя, медицинский центр 2.0 и у клиента нет желания даже покупать шаблон версии 3.0

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#256

21.04.2025 21:18:31

Цитата

написал:

Цитата
написал: Сделали модуль по защите от внедрения вирусов. На маркетплейсе думаю неделя-две модерация займет. Можно на гитхабе скачать и установить. https://github.com/AmminaSolutions/ammina.stopvirus

Да, делали с поддержкой 7-ки. Должно работать.
Если что-то не так будет - напишите и посмотрю чтобы работало. на PHP 5-ку сразу говорю делать не буду

а с 7.0 до 8.4 чтобы работало - это да.

Про вирус | Модуль защиты

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#257

23.04.2025 15:20:48

с модулем аккуратно надо - там сингатуры довольно широкие по вхождению в тело запроса, например echo
сингатуры в модуле "прибиты" хардкодом - не "порулить"
к примеру если бы этот модуль был активирован на этом сайте - это пост бы не прошел

в целом идея хорошая - хакерские запросы рубит, только нужно понимать куда подключать

но если сайт уже заражен, тут только ручная чистка ... т.к. пролог может и не подключаться

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 5813166 Заглянувший Сообщений: 2 Регистрация: 19.02.2025	#258 24.04.2025 14:25:55 Алексей, возник такой вопрос, если у Битрикса стоит свежее обновление , то не будет ли конфликтов по модулю Ammina StopVirus с Битриксом или наоборот?

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#259

24.04.2025 15:27:17

Цитата
написал: Алексей, возник такой вопрос, если у Битрикса стоит свежее обновление , то не будет ли конфликтов по модулю Ammina StopVirus с Битриксом или наоборот?

некоторые моменты появлялись - они сейчас решаются (например обмен с 1с на некоторых сайтах - скорее всего по лимиту памяти отваливается). было что то еще, но возможность учесть особенности сайта в 1.1.0 версии сегодня-завтра.

Про вирус | Модуль защиты

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#260

25.04.2025 13:14:58

Выпущено обновление модуля: https://marketplace.1c-bitrix.ru/solutions/ammina.stopvirus/
## 1.1.0
* Добавлена возможность задания своих сигнатур поиска вирусов
* Добавлены правила для отдельных страниц и IP адресов (в т.ч. использование индивидуальных сигнатур, включение/отключение детектирования вирусов, установление лимита памяти)
* Сохранение информации о сработавшй сигнатуре поиска вирусов
* Добавлен автоматический мигратор базы данных модуля при обновлении версий
* Добавлены новые системные сигнатуры
* Проверка наличия устаревшего кода защиты (с форума битрикс)

Про вирус | Модуль защиты

Пользователь 492795 Заглянувший Сообщений: 17 Баллов: 1 Регистрация: 22.02.2016	#261 30.04.2025 13:30:49 Друзья, сталкивался кто-нибудь с развитием атаки в установку apk с сайта? Т.е. пользователь заходит на сайт с мобильного, и ему предлагают установку с сайта фирменного приложения.

Пользователь 6436828

Заглянувший

Сообщений: 1 Регистрация: 14.07.2022

#262

08.05.2025 13:03:59

Добрый день. есть три сайта на разных хостингах:
php 7.3.2 1С-Битрикс: Управление сайтом 20.200.300
php 7.3.2 1С-Битрикс: Управление сайтом 20.0.1198
php 7.4.33 1С-Битрикс: Управление сайтом 18.0.9

Поставил модуль с гитхаба. При включении строки в init.php выдает следующее (пример с первого в списке):

[ParseError] syntax error, unexpected 'array' (T_ARRAY), expecting function (T_FUNCTION) or const (T_CONST) (0)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/ammina.stopvirus/lib/Migrator.php:12
#0: Bitrix\Main\Loader::autoLoad(string)

#1: spl_autoload_call(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/ammina.stopvirus/lib/Detector.php:57
#2: Ammina\StopVirus\Detector->run()
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/ammina.stopvirus/run.php:8
#3: include_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/tools/ammina.stopvirus.php:8
#4: include_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/php_interface/init.php:1
#5: include_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/main/include.php:139
#6: require_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/main/include/prolog_before.php:14
#7: require_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/main/include/prolog.php:10
#8: require_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/header.php:1
#9: require(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/catalog/index.php:2
#10: include_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/modules/main/include/urlrewrite.php:159
#11: include_once(string)
/home/httpd/vhosts/turistprofi.ru/httpdocs/bitrix/urlrewrite.php:22

А с отключенной строкой в init.php если делать настройки по модулю, переходить по его меню, то также вываливается в ошибки

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#263

08.05.2025 13:37:12

Цитата
написал: [ParseError] syntax error, unexpected 'array' (T_ARRAY), expecting function (T_FUNCTION) or const (T_CONST) (0)

Лучше в ТП на support@ammina.ru писать.
А так - поправил мигратор. типизированное поле класса проскочило

Скачайте заново архив с гитхаба, либо можно в файле модуля /bitrix/modules/ammina.stopvirus/lib/Migrator.php поправить строку 12 (убрать слово array). Т.е. было:

Код
protected array $migrations = [ '1.1.0', ];

стало:

Код
protected $migrations = [ '1.1.0', ];

Про вирус | Модуль защиты

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#264

15.05.2025 10:04:19

Народ, в тему про дырку в include/mainpage/comp_catalog_ajax.php :-)

Сегодня опять увидел левые файлы на сайте, по логам помониторил - оказалось, что сломали через установщик.
Так, что, если кто не сделал, то вставьте фикс, о котором писалось ранее и в файл в папке:
bitrix/modules/aspro.allcorp2/install/wizards/aspro/allcorp2/site/public/ru/include/mainpage/comp_catalog_ajax.php

ну, и , соответственно, с другими файлами, где была уязвимость.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#265

15.05.2025 11:24:07

Дмитрий Харитонов,
очень странно ...
у Вас аппач?
посмотрите ./bitrix/modules/.htaccess
там должно быть Deny for All
соответственно, через него не должны были взламывать, 403 на любой скрипт в /bitrix/modules/ должен отдавать

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#266

15.05.2025 11:55:20

Цитата
написал: Дмитрий Харитонов, очень странно ... у Вас аппач? посмотрите ./bitrix/modules/.htaccess там должно быть Deny for All соответственно, через него не должны были взламывать, 403 на любой скрипт в /bitrix/modules/ должен отдавать

Нет, nginx + php-fpm
Хотя в конфиге задано:
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface) {
deny all;
}

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#267

15.05.2025 12:03:08

Дмитрий Харитонов,
ну значит не срабатывает правило - проверьте в чём дело

у меня такое правило
location ^~ /bitrix/modules { internal; }

если что тут для nginx хороший конфиг - его юзаю
https://github.com/Wladimir-N/ispconfig

если точнее тут

https://github.com/Wladimir-N/ispconfig/blob/debian12/Bitrix

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#268

15.05.2025 12:22:38

Цитата

написал:
Дмитрий Харитонов,
ну значит не срабатывает правило - проверьте в чём дело

у меня такое правило
location ^~ /bitrix/modules { internal; }

если что тут для nginx хороший конфиг - его юзаю
https://github.com/Wladimir-N/ispconfig

если точнее тут

https://github.com/Wladimir-N/ispconfig/blob/debian12/Bitrix

Поменял местами - поставил его перед секцией location / {...} - начало работать. как-то странно, конечно. в вашем примере секция с /bitrix/modules тоже идёт ниже location / {...}

может от версии nginx зависит. т.е. в моем случае получалось, что секция location / {..} шла раньше и запросы к modules обрабатывались ей.

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#269

15.05.2025 12:41:01

Цитата

написал:

Цитата

написал:
Дмитрий Харитонов ,
ну значит не срабатывает правило - проверьте в чём дело

у меня такое правило
location ^~ /bitrix/modules { internal; }

если что тут для nginx хороший конфиг - его юзаю
https://github.com/Wladimir-N/ispconfig

если точнее тут

https://github.com/Wladimir-N/ispconfig/blob/debian12/Bitrix

я такое использую:

Код

location ~* /\.ht  { deny all; }
location ~* /\.(svn|hg|git) { deny all; }
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface|cache) { deny all; }
location ~* ^/bitrix/\.settings\.php { deny all; }
location ~* ^/bitrix/\.settings_extra\.php { deny all; }
location ~* ^/bitrix/error { deny all; }
location ~* ^/local/(modules|php_interface) { deny all; }
location ~* ^/upload/1c_[^/]+/ { deny all; }
location ~* /\.\./ { deny all; }
location ~* ^/bitrix/html_pages/\.config\.php { deny all; }
location ~* ^/bitrix/html_pages/\.enabled { deny all; }
location ~* ^/upload/.+\.svg$ {
    add_header Content-Security-Policy "default-src 'none'; style-src 'unsafe-inline'; sandbox";
}
location ^~ /upload/support/not_image   { internal; }

Про вирус | Модуль защиты

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#270

15.05.2025 12:44:47

по хорошему еще папку /bitrix/wizards нужно закрывать аналогично, т.к. там тоже код не безопасный может быть. если нужен запуск мастера и будет заблокирован - проще временно открыть и потом закрыть

Про вирус | Модуль защиты

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#271

15.05.2025 13:58:50

Цитата

написал:

Цитата

я такое использую:

Код

 location ~* /\.ht  { deny all; }
location ~* /\.(svn|hg|git) { deny all; }
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface|cache) { deny all; }
location ~* ^/bitrix/\.settings\.php { deny all; }
location ~* ^/bitrix/\.settings_extra\.php { deny all; }
location ~* ^/bitrix/error { deny all; }
location ~* ^/local/(modules|php_interface) { deny all; }
location ~* ^/upload/ 1 c_[^/]+/ { deny all; }
location ~* /\.\./ { deny all; }
location ~* ^/bitrix/html_pages/\.config\.php { deny all; }
location ~* ^/bitrix/html_pages/\.enabled { deny all; }
location ~* ^/upload/.+\.svg$ {
    add_header Content-Security-Policy  "default-src 'none'; style-src 'unsafe-inline'; sandbox" ;
}
location ^~ /upload/support/not_image   { internal; }

Алексей, а секция с location / {...} у вас идет ДО или ПОСЛЕ указанных правил?

Пользователь 2663075

Постоянный посетитель

Сообщений: 133 Баллов: 24 Регистрация: 20.11.2018

#272

15.05.2025 16:13:56

Цитата

написал:

Цитата

написал:
я такое использую:

Код

  location ~* /\.ht  { deny all; }
location ~* /\.(svn|hg|git) { deny all; }
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface|cache) { deny all; }
location ~* ^/bitrix/\.settings\.php { deny all; }
location ~* ^/bitrix/\.settings_extra\.php { deny all; }
location ~* ^/bitrix/error { deny all; }
location ~* ^/local/(modules|php_interface) { deny all; }
location ~* ^/upload/ 1 c_[^/]+/ { deny all; }
location ~* /\.\./ { deny all; }
location ~* ^/bitrix/html_pages/\.config\.php { deny all; }
location ~* ^/bitrix/html_pages/\.enabled { deny all; }
location ~* ^/upload/.+\.svg$ {
    add_header Content-Security-Policy  "default-src 'none'; style-src 'unsafe-inline'; sandbox" ;
}
location ^~ /upload/support/not_image   { internal; }

Алексей, а секция с location / {...} у вас идет ДО или ПОСЛЕ указанных правил?

до 1-го location

Про вирус | Модуль защиты

Пользователь 4265440

Посетитель

Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021

#273

18.05.2025 21:46:04

Цитата
написал: может от версии nginx зависит. т.е. в моем случае получалось, что секция location / {..} шла раньше и запросы к modules обрабатывались ей

Это особенность конфига nginx и не только, что прописано в конфиге выше, то исполняются первыми, если фильтр прописать в конце секции server то ничего он фильтровать не будет...

Пользователь 4265440

Посетитель

Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021

#274

18.05.2025 22:07:48

Сейчас посмторел логи, хареры не унимаются...

194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:18 +0300] "POST /bitrix/admin/esol_export_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:19 +0300] "POST /bitrix/admin/kda_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/kda_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/esol_allimportexport_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:23 +0300] "POST /bitrix/admin/esol_massedit_profile.php
194.190.153.24 - - [18/May/2025:21:11:24 +0300] "GET /6940ecae5880.php

Лично у меня ломали Битрикс с самыми последними обновлениями решений и платформы, для себя проблему решил кардинально - помимо фильтрации в nginx от греха подальше удалил оригинальный модуль от esol и вместо него установил переимнованый, в результатее имеем например /bitrix/admin/esoool_import_xml_cron_settings.php и хакеры лупят в пустоту...

Пользователь 4265440 Посетитель Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021	#275 19.05.2025 08:07:11 И что довольно важно, в секции server выше !!! всех location желательно прописать следующее: # block SQL injections set $block_sql_injections 0; if ($query_string ~ "uni on.select.\(") {set $block_sql_injections 1;} if ($query_string ~ "union.all.sel ect.") {set $block_sql_injections 1;} if ($query_string ~ "concat.\(") {set $block_sql_injections 1;} if ($block_sql_injections = 1) {return 444;} # block base64 decode if ($query_string ~* "(file_put_contents\|file_get_contents\|base64_decode\|js_error.txt\|base64_\|fwrite)") {return 444;} if ($http_referer ~* "(file_put_contents\|file_get_contents\|base64_decode\|js_error.txt\|base64_\|fwrite)") {return 444;} if ($request_body ~* "(file_put_contents\|file_get_contents\|base64_decode\|js_error.txt\|base64_\|fwrite)") {return 444;} # block file injections set $block_file_injections 0; if ($query_string ~ "[a-zA-Z0-9_]=http://") {set $block_file_injections 1;} if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") {set $block_file_injections 1;} if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") {set $block_file_injections 1;} if ($block_file_injections = 1) {return 444;} # block common exploits set $block_common_exploits 0; if ($query_string ~ "(<\|%3C).script.(>\|%3E)") {set $block_common_exploits 1;} if ($query_string ~ "GLOBALS(=\|\[\|\%[0-9A-Z]{0,2})") {set $block_common_exploits 1;} if ($query_string ~ "_REQUEST(=\|\[\|\%[0-9A-Z]{0,2})") {set $block_common_exploits 1;} if ($query_string ~ "proc/self/environ") {set $block_common_exploits 1;} if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=\|\%3D)") {set $block_common_exploits 1;} if ($query_string ~ "base64_(en\|de)code$.*$") {set $block_common_exploits 1;} if ($block_common_exploits = 1) {return 444;} Подобный конфиг не нов, но в тех что видел в случае атаки сервер отдает атакующему 403 ошибку, я же прописал 444 - при выполнении условий соединение закрывается без отправки данных клиенту, дабы хакеры не получали никакой инфы от атакуемого сервера

Заражение сайтов

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером