Заражение сайтов

У меня только один вопрос к разработчикам из АСПРО. Они же понимали, что у очень многих шаблоны доработаны и не подлежат обновлению. Как можно было знать об уязвимости с 2023 года и просто скрыть этот факт? Мы сейчас пробежались по портфолио с сайта самого Аспро, у кого шаблоны были профессионально доработаны до 2024 года, они там все с этой уязвимостью.

Делюсь своим. Аспро Максимум и Битрикс без обновлений с лета 2023, когда в Аспро был глюк несовместимости с PHP8.1.
Стоит PHP 7.4.28.
C конца января на прочих доменах везде набросали /assets/images/accesson.php
Смена паролей на хостинге не помогла.
На домене с Битриксом нам влили:
/ajax/ - левый файл php c цифрами в названии
/ajax/ - php.ini с таким содержанием: safe_mode=offndisable_functions=nupload_max_filesize = 10Mnpost_max_size = 10M - вот об этом, кажется, в этом форуме еще не упоминали, посмотрите.
/bitrix/templates/Название_шаблона/footer.php - в конец файла записали ссылок на какую-то индийскую порнуху.
Всем спасибо за решения, ждем, пока тихо.

Сегодня обнаружил на одном сайте перед появлением новых файлов обращение к  /ajax/error_log_logic.php
(Аспро-Максимум обновлялся 13.05.2024).

И через эти тоже
/ajax/form.php
/form/index.php

Другой сайт на Аспро-Максимум обновлялся регулярно (последнее 25 декабря), все равно там есть вирусня.

сегодня шакалы зашли в гости по адресу:
/form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt и снова появился файл
и файл появился в папке /ajax/

Хранятся хеши паролей только, так же используется соль для создания хешей, насколько я помню.

Увидел у себя подобное в логах. Видимо меня спасло, что права на папку ajax стояли 500. Поленился в свое время и после фикса уязвимостей не сменил обратно.

Тут выше написали, что файл form/index.php - это некий ненужный рудимент. Его можно спокойно переименовать\удалить?

_удалено_

не спасёт. Там get запрос. /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
я добавил false в условия

elseif($form_id == 'TABLES_SIZE' && $url_sizes && false):
if($formType == 'CRM' && false) {

а в  error_log_logic.php закомментировал вывод ошибки

правильно понимаю, что наличие файла js_error.txt  — это попытка взлома, но еще не сам взлом сайта?
на проектах появились эти файлы, с попытками создать файлы типа ajax/7909e3e68924.php
и по логам потом попытки обращений к этим файлам, но безуспешные.


анализирую сервер на наличие новых файлов, вроде пока чисто

Я полагаю все эти файловые и sql менеджеры размещенные у меня на сервере в файлах типа  ajax/7909e3e68924.php или  e3e68/index.php в кол-ве  50шт представляют собой "товар". Человек взломал, разместил и продаёт эти доступы в даркнете или просто передал их. А покупатели ссылок, доступов: кто-то порнушные ссылки вставил, чтобы поднять их в поиске или опустить наш сайт в поиск или просто пыль в глаза бросить, чтобы  скачать всю базу и т.д...

вроде обошлось, по логам все запросы к файлам были неудачные,
сканирование сервера новых / свежеизмененных непонятных файлов не выявило (в т.ч. в папке upload, папки с кешем не проверял, сразу снес их)
кроме файла js_error.txt, в который писались ошибки при обращении через error_log_logic.php, но это, если правильно понял, не самое страшное.

по рекомендациям сделал по-максимуму, спасибо:
- закомментировал AddMessage2Log, чтобы вообще блокировать создание js_error.txt
- добавил false к TABLES_SIZE и CRM
- добаил die при попытке вызова file_put_contents и base64_decode
- ну и забанил сетку с нехорошим IP — 45.142.122.46

если кто посоветует, что еще проверить кроме новых / свежеизмененных файлов, буду признателен!