подскажите что должно быть в оригинальном файле
urlrewrite.php
urlrewrite.php
01.04.2023 18:48:17
подскажите что должно быть в оригинальном файле
urlrewrite.php |
|
|
|
04.04.2023 14:50:27
Антивирусами смотрел, какой-то лучше находит, какой-то хуже, но в целом они находят не больше половины залитых/модифицированных файлов. Только комплексно искать. Тем же find-ом например по изменению. И использовать не -mtime, а -ctime, так как у части файлов дата модификации оказывается в глубоком прошлом. |
|||||
|
|
06.04.2023 10:33:35
техподдержка Битрикс ответила так:
В отчете ImunifyAV указан файл, который не является вредоносным. скажите, на фото всё-таки заражённый/вредоносный (спамм) файл или поддержка права и это ошибка антивируса? |
|
|
|
06.04.2023 16:00:03
|
|||
|
|
06.04.2023 16:25:37
|
|||||
|
|
06.04.2023 21:37:47
Ибо
Вы обращаетесь к файлу /bitrix/admin/fileman_admin.php Соответственно, если в корне, или в папке /bitrix/, или в папке /bitrix/admin/ будет .htaccess с таким кодом, то вы получите ошибку 403. |
|||||
|
|
12.04.2023 11:53:46
Мы тоже слали репорт в Aeza, т.к. из их сетей много этого паразитного трафика, но эти чуваки из Краснодара уверенно молчат И даже фраза о том, что мы оставляем за собой право обратиться в правоохранительные органы не помогает Пока временный запрет через .htaccess всех их сетей из AS210644, плюс сети из OVH AS16276. Через деобзфукатор на unphp.net можно увидеть, что льют WSO_VERSION 2.5 и простенькие бекдоры. |
|||||
|
|
12.04.2023 12:08:18
Денис, льют на обновлённый движек?
|
|
|
|
12.04.2023 12:19:33
Коллеги, а сайты с 1С Битрикс вы как-то версионируете? Скажем, чтобы посмотреть что изменилось (вами или без вашего участия:). Если да, подскажите, что нужно исключать, можете написать с полными путями (? (1С Битрикс: Управление сайтом). Пока я предполагаю, что нужно исключать: bitrix/cache/ bitrix/managed_cache/ P.S. Отдельное спасибо тем, кто увидел в чём изначально проблема - я про LFI2RCE via PHP Filters. |
|||
|
|
12.04.2023 12:23:58
нет, я /bitrix/ из гита убираю на всех проектах - уж больно тяжелая по Вашему вопросу - ещё добавьте bitrix/backup bitrix/stack_cache |
|||
|
|
12.04.2023 12:25:22
|
|||
|
|
13.04.2023 12:41:44
Подскажите, плиз, каждый день появляется в папке upload папка вида tmp/BXTEMP-2023-04-13
Битрикс обновлен до последней версии. При сканировании системы на вирусы, обнаруживается вредоносный файл /upload/tmp/BXTEMP-2023-04-13/03/bxu/main/.access.php Каждый день удаляю эту папку, но все равно появляется. Что можно сделать? Как определить механизм и устранить его? |
|
|
|
13.04.2023 18:06:53
.
|
|
|
|
13.04.2023 18:20:00
В файле код <?$PERM["рcf508cf16d9k8153897120650*****"]["*"]="X";?>, который к этому каталогу дает полные права всем пользователям. Сама папка /upload/tmp/BXTEMP-2023-04-13 насколько я понимаю системная, она и должна создаваться при загрузке чего либо на сайт. Но сам файл /upload/tmp/BXTEMP-2023-04-13/03/bxu/main/.access.php подозрительный. Он разве должен раздавать полные права на этот каталог? Или же это последствия бяки. Все актуальные обновления на битрикс установлены. |
|||
|
|
14.04.2023 11:12:58
Извините, если повторяюсь, но не нашел ответ на такой вопрос - а если отдельно развернуть свежую установку Битрикс и на нее руками перенести файлы контента и БД - не быстрее ли это будет, чем лечить старую зараженную?
|
|
|
|
21.04.2023 09:04:25
Нашел зараженный файл по конструкции вида: "base64_decode(" |
|||
|
|
21.04.2023 11:29:21
после заражения никто не сталкивался с рассылкой спама с сервера? все вычистил, но вот хостеру жалобы начали поступать.
даже не знаю где искать источник, можете наводку дать? |
|
|
|
21.04.2023 12:23:32
В оперативной памяти сервера (перегрузить или убить процесс), кэш Битрикс вычистить
|
|
|
|
21.04.2023 14:39:21
спасибо, это все сделано.
|
|
|
|
21.04.2023 14:46:07
|
|||
|
|
24.04.2023 09:43:20
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.
|
|
|
|
24.04.2023 10:00:11
Советы по поиску смотрите в теме.
|
|||||||
|
|
24.04.2023 10:06:05
Наверное самый быстрый способ будет, написать обработчик события на создание пользователя, в него добавить лог, куда записать всё, до чего можно дотянуться, стэк вызовов в том числе, ну и блокировать создание естественно. Потом анализировать. Если конечно пользователя создают через API, а не напрямую в БД пишут. |
|||
|
|
24.04.2023 10:10:43
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал. PS ещё посмотрите агентов - может там зараза сидит |
|||||
|
|
||||