| Цитата |
|---|
| написал: Может кто-то собрать полный список уязвимых файлов, которые нужно патчить? |
Не надо сверлить зубы через задний проход дрелью от Сваровски
|
Разработчикам |
Заражение сайтов
Заражение сайтов
также удивило, что с учетом массовости проблемы, до сих пор в Маркетплейсе нет решений от разработчиков, которые решают эту проблему, хотя... может плохо искал и уже есть. активно пользуемся вашими модулями, думаю для вашей команды это на вечер задачка ) а так пока сами мини-модуль написали, который в OnPageStart проверят подозрительные запросы и в бан отправляет, но знаний не хватает, чтобы с уверенностью сказать, что точно все плохое блокируется, или в блокировку не улетает и что-то нужное. |
|||
|
|
|
Они в Аспрошные дыры ( через /ajax/js_error.php и /ajax/error_log_logic.php) те же функции пытаются через GET-запрос пропихнуть. |
|||
|
|
|
Не все могут себе позволить держать постоянно обновленное ядро Битрикса, все решения и все модули сайта - это довольно трудоемкая и дорогая задача для большинства пользователей. |
|||
|
|
|
|
|||||
|
|
|
Увеличьте продажи трансформировав сайт
|
|||
|
|
|
|
Кому-нибудь удалось выяснить, куда еще подгружается исполняемая вредоноска? Я делал бекапы, но файлы все равно восстанавливались. В моем случае файл siteheads.php подгружался до директории с файлами сайта, и оттуда снова восстанавливался. Удалил, сделал бекап, вроде чисто
|
|
|
|
|
|
|||||
|
|
|
|
|||
|
|
|
|
Думаю, что было бы правильным добавить в типовой "Сканер безопасности" от Битрикса функции обнаружения в коде всех серьезных уязвимостей в ядре Битрикса и в любых дополнительных модулях. "Сканер безопасности" должен сигнализировать админу сайта на почту об обнаружении любых уязвимостей в коде с указанием конкретного файла и строки. Причем "Сканер безопасности" должен сканировать код сайта автоматически, например ежеденевно и должен обновлять свои сигнатуры удаленно, даже если ядро Битрикса не обновлено до последней версии.
/bitrix/admin/security_scanner.php?lang=ru В целом проблема уязвимостей в коде - это ответственность не пользователей и даже не разработчиков модулей, а Битрикса, т.к. модули распространяются через Маркетплейс Битрикса и при размещении модулей Битрикс обязан проверять их на уязвимости и гарантировать отсутствие уязвимостей в коде модулей перед пользователями. Если какие-то уязвимости не были обнаружены до размещения модуля в Маркетплейсе, то это прежде всего косяк самого Битрикса. Именно Битрикс должен предпринимать все меры по решению возникших проблем, а не самоустраняться от их решения или переводить стрелки на разработчиков модулей. |
|
|
|
|
Нельзя в подобных системах как Битрикс, в котором под капотом жуткое легаси - провести 100%-е код-ревью на абсолютно все уязвимости, как вы это не поймете. А уж детские ошибки в коде от АСПРО - ну это показатель квалификации их разрабов. не бывает абсолютно безопасного ПО, запомните. В общем, спасение утопающих - дело рук их самих. |
|||
|
|
|
if ($_SERVER['REQUEST_METHOD'] == 'POST'){ $cont=mb_strtolower(file_get_contents('php://input')); if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || (strpos($cont,'action=getphpversion')!==false && strpos($cont,'path=')!==false && strpos($cont,'echo')!==false) ){ die('Все, лесом ребята'); } } 20 часов - полет нормальный.
|
|
|||
|
|
|
А какие то классы, модули подключать надо? У меня на все куски коды там всегда вначале идет что-то вроде:
|
|||||||
|
|
|
|
Просто в самом начале скрипта init.php добавьте этот код. Я еще перед die() добавил логирование в файл. И в настройках Проактивного фильтра в битриксе включил блокировать IP адреса. И в итоге ИП адрес заблокированный совпадает с ИП адресом в лог-файле попыток взлома.
|
|
|
|
|
Спасибо! 3п - добавил проверку get:
5п - максимально поддерживаю. Хоть это и какие то доп. расходы и трудозатраты - наличие бэкапов обязательно. Так же рекомендую переодически (хотя бы раз в пол года) - делать бэкап и скачивать на свой компьютер, в дополнение к имеющимся системам. + Доп. заметка от меня: Патчер аспро подходит не только для аспро, а для всех, хорошо ищет уязвимости unserialize для любых файлов. Так же при чистке от вируса проверяйте крон, плюс перезагружайте сервер. Вирус залезает в процессы сервера. |
|||||
|
|
|
Только версия кода чуть другая: if ($_SERVER['REQUEST_METHOD'] == 'POST'){ $cont=mb_strtolower(file_get_contents('php://input')); if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || strpos($cont,'action=getphpversion')!==false){ die('Все, лесом ребята'); } } Либо дополнительно с корректировкой предложенной Артур Голубев, : if ($_SERVER['REQUEST_METHOD'] == 'POST'){ $cont=mb_strtolower(file_get_contents('php://input')); }else{ $cont=mb_strtolower($_SERVER['QUERY_STRING']); } if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || strpos($cont,'action=getphpversion')!==false){ die('Все, лесом ребята'); } только по ftp файл редактируйте, т.к. через браузер и редактор файлов битрикса он уже не отредактируется - отсечка пойдет данным кодом.
|
|
|||||||||
|
|
|
|
Данные правила имеет смысл добавлять на обновленный битрикс? Вроде блкоирует подобное.. .
|
|||
|
|
|
|
Александр Каменский, если блокирует битрикс/аспро - хорошо. но по мне - лучше перестраховаться всем чем можно. Спасение утопающих...
Выше писал - клиенту повезло очень что база данных большая у сайта и был бэкап сделан, т.к. вирус зашифровал все файлы и удалил первый файл бэкапа. Бэкап восстановили, но поврежденный. в поврежденной части только дамп базы был. Иначе клиенту пришлось бы сайт с 0 делать. там на аспро был а импорт из экселя модуль - через него заходили. Поэтому лучше все что написал сделать - и правило nginx и код в init.php и обязательно бэкапы, которые не на сервере сайта хранить а на удаленном хранилище + локально копию. Это дешевле чем с 0 все делать.
|
|
|
|
|
|
|
|||
|
|
|
|
Коллеги, подскажите.
После патчера аспро и удаления папок с кешем, везде начало вылетать окно авторизации пользователя. Как лечить? p.s Всю алгоритмику из топика по чистке так же провел.. p.s.p.s заражение было - все как в это топике.. созданные файлы 9y754543.php, файлы в ajax - _fly и т.д |
|
|
|
|
В топике выше уже писали как личить, повторю еще раз: - удаляем .htaccess из папок bitrix и bitrix/admin и идем в "Настройки - Проактивная защита - Поиск троянов - Проверка .htaccess () там можем сразу нажать "удалить все и установить минимальный набор" После этого уже привести в порядок основной .htaccess в корне сайта (или просто скопировать из резерва его. P.s. при этом остальные следы заражения на сайте уже должны быть удалены (вычищены все мусорные файлы, удалены инъекции из index.php и footer.php, убиты вредоносные агенты, убиты вредоносные процессы на северер, почищен крон и т.д.) |
|||
|
|
|
htaccess'ы мусорные чистил и на всякий еще разок взял и сбросил до заводских) К сожалению не помогло. Везде форма авторизации, после авторизации в которой - все прекрасно и как надо отображается. p.s Хостинг - виртуальный, вредоносные агенты пока до конца не разобрался, как отличить. |
|||||
|
|
|
|
Всем спасибо, случайно задел файл .access.php в корне сайта.
Восстановил - запахало. |
|
|
|
|
|
Всем привет! Буду рад любой помощи, получаю ошибку:
Forbidden You don't have permission to access this resource. Apache/2.4.56 (Debian) Server at aurum-doors.pro Port 80Всё вычистил, более ничего не появляется, /bitrix/admin/sale_order.php - не могу войти, где копать? |
|
|
|
|
|
По решениям от Сотбит есть у кого детальная информация что там править? Сотбит собрали нерабочий патч, который не запускается ни на одном проекте, в каждом разные ошибки в логах, в основном ошибки синтаксиса и незаданных значений переменных.
|
||||
|
|
|
|||
