Можно дополнить этот список, чтобы другим людям не приходилось искать заново. Были такие сайты, где просто нереально обновить ядро Битрикса и приходится фиксить вручную
Так же помогает модуль marketplace.1c-bitrix.ru/bitrix.xscan с поиском зараженных файлов. На некоторых сайтах он системные файлы тоже помечал как подозрительные, но в некоторых на самом деле всё в порядке.
Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел marketplace.1c-bitrix.ru/bitrix.xscan, вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
1. У вас на сервере только этот сайт был? Т. е. исключена возможность взлома через другой сайт? 2. Взломать могли и через код публичной части сайта, за который отвечаете вы, а не Битрикс. Сканер безопасности проактивной защиты и проверку системы запускали после установки всех обновлений? Там было всё в порядке? Если ответы на оба вопроса положительные, то обращайтесь в техподдержку Битрикса. Пишите сюда, если появится новая информация.
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел marketplace.1c-bitrix.ru/bitrix.xscan , вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(
В поддержку писали? Пишите, напишите сюда ответ. Мне помогли, больше проблем нет. Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
1. У вас на сервере только этот сайт был? Т. е. исключена возможность взлома через другой сайт? 2. Взломать могли и через код публичной части сайта, за который отвечаете вы, а не Битрикс. Сканер безопасности проактивной защиты и проверку системы запускали после установки всех обновлений? Там было всё в порядке? Если ответы на оба вопроса положительные, то обращайтесь в техподдержку Битрикса. Пишите сюда, если появится новая информация.
1. На сервере пять битрикс сайтов, но дефейснули только на одном. Два на одной админке, еще три на другой. Все фул обновленные, с пхп 8.1, вот только недавно обновили. Не-битриксовских сайтов на сервере нет. 2. Ну теоретически да, это понятно. Хотя какая разница, взламывают через стороннее решение или фронт - система тоже должна это видеть по хорошему и хотя бы оповещать о подозрительных активностях. Сканер безопасности и проверку сайта после обновлений запускали да, там ничего серьезного не было, только ворчание про включенный дебаггинг.
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...
В поддержку писали? Пишите, напишите сюда ответ. Мне помогли, больше проблем нет. Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.
Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...
В поддержку писали? Пишите, напишите сюда ответ. Мне помогли, больше проблем нет. Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.
Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?
В поддержку надо было обратиться обязательно. У вас все обновлено, и вам в первую очередь туда - денег за это не берут. У меня была история с сайтом с просроченной лицензией. Поддержка попросила доступ, сами все почистили, указали, какие файл исправили, что удалили. Порекомендовали обновить сайт. Какие файлы? Все тоже самое, что здесь и обсуждалось.
В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.
Может кто сталкивался? И какие действия предпринять для разблокировки?
В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.
Может кто сталкивался? И какие действия предпринять для разблокировки?
Провайдер если блокирует, то объясняет причину. Устраняете причину, провайдер разблокирует. Возможные причины: устанавливается сервер рассылки спама, через ваш сайт с вашего ip атакуются другие сайты: взлом, дос атака, подбор паролей.
В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.
Может кто сталкивался? И какие действия предпринять для разблокировки?
Провайдер если блокирует, то объясняет причину. Устраняете причину, провайдер разблокирует. Возможные причины: устанавливается сервер рассылки спама, через ваш сайт с вашего ip атакуются другие сайты: взлом, дос атака, подбор паролей.
От провайдеров никаких объяснений не было. Я предполагаю, что блокировка была автоматической со стороны РКН по причине взлома сайтов хакерами соседнего государства и размещения на них некорректного обращения, о котором идет речь выше в других постах.
Может кто подскажет, какие действия предпринять для разблокировки? Или разблокировка может произойти так же автоматически через некоторое время?
Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии
движек нужно обновлять регулярно, если у вас он до этой недели жил без обновлений - это было время "открытых дверей" и скорее всего уже напихали бэкдоров "по самое не хочу" и теперь обновление уже никак не поможет - только чистка в ручном режиме
и судя по тому, что взломали далеко не все сайты на движке Битрикс (тьфу тьфу тьфу у моих клиентов полёт нормальный) причина не в какой то новой уявзимости движка
написал: Я предполагаю, что блокировка была автоматической со стороны РКН
а что предполагать? есть онлайн сервис для проверки наличия сайтов в блэк листах РКН для проверки пропишите в hosts домен и IP - тогда точно поймёте хостер это блокирует или нет
После того как почистили от троянов и сделали бекап, лучше сайт в git поместить для трекинга изменений, чтобы сразу видеть где были изменения. И если есть изменения, высылать себе diff-ы с предыдущей версией. Пример скрипта для запуска из-под крона: https://gist.github.com/dynax60/98a8adbc9966b99409125da3a60d6234
написал: Я предполагаю, что блокировка была автоматической со стороны РКН
а что предполагать? есть онлайн сервис для проверки наличия сайтов в блэк листах РКН для проверки пропишите в hosts домен и IP - тогда точно поймёте хостер это блокирует или нет
Ничего не находит, пробовал и домен и URL и IP указывать: