Цитата | ||
---|---|---|
написал:
походил по каталогу - не моделируется |
12.02.2024 09:38:01
|
|||||
|
|
12.02.2024 11:24:21
в init.php
прописал AddEventHandler("main", "OnEndBufferContent", "RemoveMaliciousCode"); // Функция для удаления вредоносного кода function RemoveMaliciousCode(&$content) { // Замените 'вредоносный_код' на фактический код или часть его, который вы хотите удалить $maliciousCode = "' // Поиск и удаление вредоносного кода $content = str_replace($maliciousCode, "", $content); } Капча перестала появляться в консоли браузера появилась ошибка о том что не может она. можно дальше копать. Временная заплатка пока не найдем источник |
|
|
|
12.02.2024 12:17:22
Устал бороться. Битрикс – решето, сплошные разочарования! Стоит не дешево, а проблем получаешь вагон. Одну проблему закроешь, вторая следом возникает. Битрикс + Аспро.NEXT – чего только не было за историю работы сайта. Начиная от редиректов ?goto=, заканчивая шелами, и появлением новых директорий со скриптами в корне сайта. Обновления особо не помогают. Дверь закроешь, они в окно. Сайт похоже в какой-то спам базе – устал бороться с ботами. Но очередной взлом добил окончательно! Периодически смотрю логи, и вот опять – вижу огромное количество - обращений, GET запросов типа:
При переходе по ссылке на моем сайте, с моим доменным именем открываются страницы другого сайта, каталог препаратов для импотентов: виагрой и прочей фигней. Началось все с этого:
Обнаружил новую директорию с /lib/ - в корне сайта, с большим количеством PHP - файлов, страниц данного левого сайта. Как подсадили, не догадываюсь. Убрал. Понимаю, что просто убрать мало, так как сама проблема окончательно не решена, дыра не закрыта.
Прошу совета! Как решить проблему окончательно? Куда смотреть? PS: Ещё нашел в файле index.php в корне, сразу после открывающей директивы <? вставку кода:
Причем сдвинута в право с большим количеством пробелов, что бы при открытии файла была не заметна. PS: Ещё в файл robots.txt добавили строку:
|
|||||||||
|
|
12.02.2024 12:27:31
пока не догадаетесь, так и будет всякая зараза на сайте значит у Вас либо открытая уязвимость (версия движка актуальная?) либо бэкдор, который подсунули в момент когда уязвимость ещё была не защищена нужно проанализировать логи - найти эту дыру и залатать |
|||
|
|
12.02.2024 12:34:45
* сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения * удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php * проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное * сменить все пароли - ssh, ftp, все админские учетные записи на сайте * воспользоваться штатными средствами Проактивная защита начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru * воспользоваться сторонними средствами ( aibolit и т.п.) * поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке - конкретный пост не подскажу, давненько было дело - нужно искать. Я по ним много раз находил заразу. * посмотреть агентов - чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет - всё равно будет заново создано) * так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает * добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения) * поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку) так по горячим следам гораздо проще анализировать логи (например за последние сутки) * по логам вычислить заразу и прибить * после чистки - режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме) * регулярное резервное копирование (желательно не сюда же - в облако или стороннее хранилище, при наличии гита можно бэкапить только БД) как то так ... P.S. так же можно обратиться в саппорт Битрикса - есть случаи когда саппорт помогал найти и устранить уязвимость |
|||
|
|
12.02.2024 14:12:20
Кстати один из распространённых вариантов - увели пароль FTP или SSH
|
|
|
|
12.02.2024 15:27:18
Актуальные обновления и поддержка помогают. Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь. |
|||
|
|
12.02.2024 18:43:14
Ну да - смена всех паролей это вообще первое, что нужно сделать при обнаружении взлома. SSH, FTP и от админки тоже Шаред хостинг в принципе не рекомендую - виртуалки имхо понадёжнее. Раньше было много кейсов по взлому "соседей", сейчас не знаю как там дела обстоят. |
|||
|
|
13.02.2024 01:23:09
Обратились пару клиентов.
Битриксы древних версий, но все ранее известные уязвимости по имеющимся рекомендациям были закрыты. Из симптомов, куча perl процессов из /tmp, левое задание cron, куча левых файлов в bitrix/admin, папки assets со всякой дрянью, где только можно, процессы висящие в памяти. Взломали так:
То есть пост запросом на /bitrix/admin/fileman_file_upload.php Сам процесс заливки файлов виден даже в последних действиях в админке. При этом в админке он не авторизовывался и включено OTP Так что, кто до сих пор не обновился и словит подобное, имейте ввиду |
|||
|
|
13.02.2024 07:05:15
это что-то новенькое
при файловом доступе авторизация вообще не проблема
100% ! может быть и хуже на сколько я помню Украинские хакеры после начала СВО сносили контент - как в БД так и в файлах |
|||||||
|
|
13.02.2024 07:11:56
вот я тут сильно сомневаюсь, что закрыты - я когда "наискосок" посмотрел "bitrix attack" (90% конечно не понял, уж больно всё на "заумном"), но понял одно - если внутри ядра не поправлено, то "достучаться" можно не только через явно указанные дыры и первое, что нужно сделать это актуализировать движек, потом всё в гит и вылавливать дыры в некоторых случаях (например в Вашем) наверное проще перетащить контент на свежеустановленный движек, потом гит и режим наблюдения, иначе можно задолбаться вычищать |
|||
|
|
13.02.2024 07:18:42
бесплатно? если да, то вообще супер-вариант! |
|||
|
|
13.02.2024 16:40:21
|
|||
|
|
13.02.2024 16:41:43
|
|||||
|
|
21.02.2024 10:42:54
Добрый день, подскажите на счет "Защита административной части"
У меня статический айпи, по этому у меня включена защита доступа к административной части. И сегодня увидел попытку подбора пароля в журнале событий. Посмотрел логи, все запросы с ipv4 были заблокированы, а вот с ipv6 код ответа 200. ipv6
|
|||||
|
|
21.02.2024 10:46:02
такое лучше в саппорте спросить |
|||
|
|
21.02.2024 16:04:22
Какие рекомендации |
|||
|
|
20.06.2024 14:38:36
Приветствую!
Сегодня от 1С-Битрикс получили письмо
|
|||
|
|
20.06.2024 14:42:28
да, поломали вчера все, что на хостинге лежали
|
|
|
|
20.06.2024 14:48:54
Сергей ., обновления когда последний раз устанавливали? Через что поломали не выяснили?
Странно что в этой теме тишина, в прошлые массовые инциденты тут бурное обсуждение шло. |
|
|
|
20.06.2024 14:59:50
Вчера клиент обращался со взломом. У него была версия Битрикс начала этого года. Хостинг Бегет.
Но больше интересует что делать тем клиентам, которые по ряду причин застряли на php7.4 и их не обновить так просто. В каком файле уязвимость, как можно пофиксить? |
|
|
|
20.06.2024 15:42:40
Кто-нибудь знает подробности?
|
|
|
|
20.06.2024 16:15:44
Создание и поддержка сайтов:
|
||||
|
|
|||