Цитата | ||
---|---|---|
написал:
понятно, значит не то ... так и не нашли дыру? |
У нас на странице подключается googletagmanager 5 раз и что удивительно все сводится в папку include от Астора. В трех местах подключается, где их компонент соц сетей подгружается и под баннером с меню футера. Посмотреть, что в include файлах в зараженном бэкапе не можем, потому что у нас многосайтовость и сортировка выше у второго сайта, их файлы развернулись.
И тут такой момент, что в админке тоже появлялась "капча", но стоит оговориться, что в админке стало появляться не сразу, только на второй день.
Еще из интересных логах за тот день, когда заметили вирус:
Код |
---|
78.153.140.224 - -[04/Feb/2024:01:51:14 +0300 - -] 301 "GET /.env HTTP/1.1" 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-" 78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - -] 400 "\x16\x03\x01\x00\xDE\x01\x00\x00\xDA\x03\x03\xF6\x1CK\xAB\x0E\x02YU\x95v\x0E\x17d(\x1D\xE4H\x01G%\x0Fi\x85" 150 "-" "-" "-" 78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-" 78.153.140.224 - - [03/Feb/2024:13:32:43 +0300 - -] 302 "GET /.env HTTP/1.1" 138 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-" 78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70557 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-" 78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.172] 404 "GET /.env HTTP/1.1" 70558 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-" 68.183.140.104 - - [04/Feb/2024:02:02:01 +0300 - -] 400 "\x15\x03\x03\x00\x02\x02F" 150 "-" "-" "-" 68.183.140.104 - -[04/Feb/2024:02:02:02 +0300 - 0.000] 403 "GET /bitrix/redirect.php?goto=http://orgausa.com HTTP/1.1" 242 "https://***.ru/bitrix/redirect.php?goto=http://orgausa.com" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68" "-" 198.235.24.16 - - [04/Feb/2024:02:19:53 +0300 - -] 301 "GET / HTTP/1.1" 162 "-" "-" "-" 198.235.24.16 - - [04/Feb/2024:02:19:55 +0300 - 0.001] 400 "GET / HTTP/1.1" 407 "http://наш ip:80/" "-" "-" |
P.S. Сегодня на другом сайте ночью пытались массово удалить пользователей и не удалось из-за настроек битрикса:
a:2:{s:4:"user";s:29:"Дмитрий ***";s:3:"err";s:206:"Ошибка при удалении в модуле sale: Пользователь #10429 имеет заказы в модуле Интернет-магазина и не может быть удален.";}
Пару дней уже на этом сайте боты массово заполняют формы, да и во всех инпутах, каких можно sql-инъекции ищут