Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.
01.03.2023 01:35:51
Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.
|
|
|
|
01.03.2023 02:35:28
|
|||
|
|
01.03.2023 03:32:21
Смотрите логи, чистите бэкдоры. В агентах обязательно проверьте. |
|||
|
|
01.03.2023 11:50:07
24 февраля начали - годовщина СВО. То что модули ui/fileman рекомендуете удалить - это неправильно - основополагающие модули. можно тогда /bitrix/modules/main удалить тоже, чтоб надежно вирус загасить. но это и сайт не будет работать )) |
|||||||||||
|
|
01.03.2023 12:32:09
коллеги, у кого после лечения и всяческих блокировок гадость продолжает лезть - проверьте агенты. у себя обнаружил в списке агентов эвал-код, который запускался и порождал бекдор.
сильно помогла статья |
|
|
|
01.03.2023 13:24:50
Проверено на себе - если переименовать временно модули из списка, работоспособность сайта извне не теряется, но редактировать/или добавлять контент не получится, конечно. После чистки и перед самим обновлением их нужно будет вернуть. К сожалению, для избавления от дыр обновиться нужно будет обязательно. Для меня это пока наиболее быстрый вариант очистки от вируса... PS: по идее, тем у кого редакция выше 18, достаточно избавиться только от vote, но это не точно... |
|||
|
|
01.03.2023 15:20:56
Тоже столкнулись с созданием странных файлов в bitrix/admin, создаются они путём POST запросов на главную страницу сайта. Защитились запретом на отправку POST запросов к главной странице директивой в .htaccess.
RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} ^/$ RewriteRule .* - [F,L] Теперь злоумышленник получает 403 в ответ на пост запрос, и файлы не создаются. |
|
|
|
01.03.2023 16:06:01
dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался.
В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля. в самое начало index.php разместите (блокировку уберите, она тут есть)
перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть |
|||
|
|
01.03.2023 16:08:23
clone message deleted
|
|
|
|
01.03.2023 16:09:38
чего то сообщение задвоилось, глюк какой то
|
|
|
|
01.03.2023 16:19:59
Такс друзья. На одном проекте массово создавались htaccess
На другом проекте были залиты разные php файлы, в разных папках Описание: Создавались файлы admin.php contents.php сss/votes.php Всякие левые wordpress В файлах зашифрованный код, местами даже есть китайские иероглифы:) Как в корне так и в /bitrix/ Интересно, что .htaccess и index.php постоянно перезаписывались. Хост отписался, что были запущены левые процессы
|
|||
|
|
01.03.2023 16:28:03
Коллеги, исходя из темы не до конца ясно, страдают только старые (не обновленные) сайты или есть случаи и с актуальными версиями?
|
|
|
|
01.03.2023 16:34:41
|
|||
|
|
01.03.2023 16:39:33
я так понимаю только не обновлённые, хотя было одно сообщение
но так и без ответа про уязвимость ... Лично на моей практике попадались взломанные сайты только не обновлённые
похоже на причину новой "волны", на сколько я помню год назад тоже была волна взломанных сайтов и не только под Битрикс. |
|||||||
|
|
01.03.2023 17:08:53
Коллеги, да - проблема в старых версиях битры и хвостах, которые остались после взлома. июньского.
Как лечилось: - останавка сервера - поиск файлов, у меня был целый букет - как wp так и рандомные файлы, на которые по крону стучатся каждую секунду. - залочил все исполняемые функции, кроме curl на уровне конфигурации php.ini - выставил счет клиенту на обновление битры - пролечил вагон файлов - Пока битру не обновили с другого проекта скопировал модуль bitrix.xscan, повесил исполняемым антивирусник на все файлы, добавил лог по посту, айпи. - У меня долбится с контейнера докера по крону (кстати тоже дырявый сервер), каждую секунду. Висел sh скрипт с какого-то сайта тянул репозиторий в Админке грузил - inc.class.style.php и рандомный файл. /home/bitrix/www/bitrix/admin/8f1c222aae51.php - с этого ip 77.73.131.73 wp-инъекция - с этого ip 185.81.157.213 disable_functions = evil,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source ... теперь собираю статистику что делают и куда ломятся )) |
|
|
|
01.03.2023 17:18:34
|
|||||
|
|
01.03.2023 18:31:28
|
|||
|
|
01.03.2023 18:41:06
На хостинге был ещё хоть один не обновленный сайт? Или один сайт - один хостинг? |
|||
|
|
01.03.2023 18:49:25
В Главном модуле Режим вывода ошибок (error_reporting) = Не выводить? В bitrix/.settings.php в 'exception_handling' параметр 'debug' = false и указан путь до лога ошибок в 'log'? |
|||
|
|
01.03.2023 21:16:18
Еще один файл нашел
/bitrix/modules/iblock/lib/bizproctype/wp-login.php через него и заливали вредонос. как он попал в эту папку пока выясняю |
|
|
|
01.03.2023 21:25:04
кстати интересный htaccess там же лежит ( /bitrix/modules/iblock/lib/bizproctype/ )
<FilesMatch ".(php|php5|phtml)$"> Order allow,deny Deny from all </FilesMatch> <FilesMatch "^(access.php|wp.php|term.php|locale.php|themes.php|network.php|container.php|router.php|wp-login.php)$"> Order allow,deny Allow from all </FilesMatch> |
|
|
|
02.03.2023 00:20:17
|
|||||
|
|
02.03.2023 03:42:27
Александр, теперь поиском по всем php файлам ищите bitixxx
И в агентах ещё обязательно проверьте заразу |
|
|
|
02.03.2023 05:47:02
тут новенький почему то не может в тему написать, кинул в личку - репост ниже
лично я таких POST ещё не встречал, думаю просто совпадение
я бы для начала так же как в предыдущем случае попробовал изучить запрос более детально сохранил бы $_GET $_POST параметры (я так понимаю в лог полностью $_GET не влез, а было бы интересно взглянуть) т.е. в /products/index.php в самое начало и mail() для оповещения перед die()
|
|||||
|
|
||||