Разработчикам

Заражение сайтов

RSS

Заражение сайтов

Пользователь 407969

Посетитель

Сообщений: 30 Баллов: 5 Регистрация: 12.01.2017

#176

12.03.2025 09:21:17

Цитата
Евгений Иванкин написал: У нас опять массовые заражения сайтов на АСПРО

Цитата
Антон написал: оже самое вчера начались появляться файлы. Все дыры были закрыты что были изывестны

У нас всё спокойно. Признаков заражения нет. Прошу отписаться как были загружены новые файлы.
Вполне возможно, что уже начались целевые атаки на основе поиска уязвимостей не АСПРО, а на основе анализа кода конкретного проекта, который мог быть скачан во время предыдущего заражения.

Пользователь 182977 Посетитель Сообщений: 42 Баллов: 6 Регистрация: 26.09.2013	#177 12.03.2025 09:27:00 Тоже на проектах были установлены модули kda и esol, анализируем сейчас логи.

Пользователь 49681 Посетитель Сообщений: 29 Баллов: 7 Регистрация: 29.09.2009	#178 12.03.2025 09:53:05 у меня не было модулей kda и esol, был только сайта на аспро. Снес его и вирусов не стало. Косяк от аспро нереальный, конечно

Пользователь 1148455

Заглянувший

Сообщений: 6 Регистрация: 16.05.2017

#179

12.03.2025 10:17:00

Подтверждаю, вчера все сайты где были установлены модули по импорту и экспорту EXCEL от kda и esol были заражены.
У разработчиков в этом модуле числится в обновлениях от 28 февраля 2025 правки по безопасности.
Пару модулей (у которых еще активна лицензия) обновили, остальные стер. Посмотрим, где появятся вредоносные скрипты снова, а где не будет.

Половина сайтов не на Аспро. И никак с ними не связана.

Пользователь 182977

Посетитель

Сообщений: 42 Баллов: 6 Регистрация: 26.09.2013

#180

12.03.2025 10:27:11

Цитата
написал: У разработчиков в этом модуле числится в обновлениях от 28 февраля 2025 правки по безопасности.

написали разработчикам уже, попросили прокомментировать ситуацию, физически разработчик у решения один, как я понимаю

Пользователь 1242163

Посетитель

Сообщений: 22 Баллов: 3 Регистрация: 30.06.2017

#181

12.03.2025 10:41:27

еще один момент,в последнее время попытки атак идут преимущественно с серверов AEZA
сегодня атаковали все сайты по несколько раз с IP — 85.192.30.151 (AEZA RU)

правильно понимаю, что можно смело банить все подсети AEZA?
вероятность, что это реальный посетитель минимальна, разве что кто поднял там собственный VPN и серфит интернет через него

или все сложней? кто вникал в вопрос?
и где можно в онлайне актуальный список всех статей AEZA посмотреть?

UPD.
список подсейтей они сами отдают, ссылку можно через whois посмотреть — https://aeza.net/static/ipv4_f.csv

Пользователь 182977 Посетитель Сообщений: 42 Баллов: 6 Регистрация: 26.09.2013	#182 12.03.2025 11:06:04 Можно AEZA написать на abuse@aeza.net с жалобой на атаки с их серверов, но это временная мера.

Пользователь 6537570 Постоянный посетитель Сообщений: 86 Баллов: 15 Регистрация: 10.10.2022	#183 12.03.2025 11:34:15 Евгений Иванкин, AEZA тот самый хостинг который все эти жалобы игнорирует. Не первый год уже что атаки происходят через них

Пользователь 1148455

Заглянувший

Сообщений: 6 Регистрация: 16.05.2017

#184

12.03.2025 12:40:20

Цитата
написал: написали разработчикам уже, попросили прокомментировать ситуацию, физически разработчик у решения один, как я понимаю

Дали ответ?

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#185

12.03.2025 15:46:54

Коллеги всем привет! обнаружил как вычистить шелы? тоже подхватили заразу в папке ajax, три файла
/ajax/reload_basket_fly.php
/ajax/show_basket_fly.php
/ajax/show_basket_popup.php
До этого делал вычищал крякозябры с php в той же папке, файл txt тоже там лежал! Зараза пошла после того как провели парсинг через вышеуказанные модули от kda и esol. Пробывал принудительно удалять файлы скриптов и форм, по папкам сайт простоял ночь.
Еще на заметку: Срабатывание атаки в модуле защиты на капчу ( стоит гугл v3) , думаю зараза шла через формы. Потому как после всего это началась эта эпопея и спустя 2 дня появились эти файлы в аякс

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#186

12.03.2025 15:53:11

Цитата

написал:
Коллеги всем привет! обнаружил как вычистить шелы? тоже подхватили заразу в папке ajax, три файла
/ajax/reload_basket_fly.php
/ajax/show_basket_fly.php
/ajax/show_basket_popup.php
До этого делал вычищал крякозябры с php в той же папке, файл txt тоже там лежал! Зараза пошла после того как провели парсинг через вышеуказанные модули от kda и esol. Пробывал принудительно удалять файлы скриптов и форм, по папкам сайт простоял ночь.
Еще на заметку: Срабатывание атаки в модуле защиты на капчу ( стоит гугл v3) , думаю зараза шла через формы. Потому как после всего это началась эта эпопея и спустя 2 дня появились эти файлы в аякс

вот так ругалась защита

Прикрепленные файлы

Ошибки.png (366.79 КБ)

Пользователь 529315

Заглянувший

Сообщений: 3 Регистрация: 18.03.2016

#187

12.03.2025 17:29:05

Добрый день.
Про взлом сегодня, где модули kda и esol

Согласно логам, обращение идет к
/bitrix/admiin/esol_allimportexport_cron_settings.php

Пример
85.192.30.151 - - [12/Mar/2025:04:50:59 +0300 - 0.002] 200 "GET /c2c3bfdcd4a3.php HTTP/1.1" 7 "САЙТ/bitrix/admin/esol_allimportexport_cron_settings.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2943.54 Safari/537.36" "-"

Также
/bitrix/admin/esol_import_xml_cron_settings.php

/bitrix/admin/kda_export_excel_cron_settings.php

Сегодня разработчики выложили патчер на странице модуля в маркетплейс https://marketplace.1c-bitrix.ru/solutions/esol.importexportexcel/

Пользователь 7476878 Заглянувший Сообщений: 1 Регистрация: 08.08.2023	#188 12.03.2025 21:24:39 Взломщики уже увидели патчер от esol, закрывают этот файл для записи и добавляют в начало файла строку "<?php // 403 Forbidden ?>". Из-за чего патчер не исправляет файлы.

Пользователь 1315563

Заглянувший

Сообщений: 5 Регистрация: 28.02.2023

#189

13.03.2025 00:33:47

Цитата
написал: список подсейтей они сами отдают, ссылку можно через whois посмотреть — https://aeza.net/static/ipv4_f.csv

Чат гпт даже быстренько накидал файл для добавления всего этого диапазона в бан на уровне сервера.
Загружаем на север, меняем расширение на sh, делаем исполнительным, запускаем.

UPD: файлик не прикрепился, вот текст:

Код

#!/bin/bash

# Список IP-адресов
IPS=(
45.15.158.0/24
45.142.122.0/24
185.17.0.0/24
185.112.83.0/24
185.174.136.0/24
185.229.66.0/24
194.26.229.0/24
85.192.56.0/24
45.138.74.0/24
77.73.131.0/24
78.153.130.0/24
185.106.94.0/24
212.113.106.0/24
212.113.119.0/24
5.252.118.0/24
45.15.159.0/24
79.137.194.0/23
79.137.196.0/22
79.137.204.0/23
85.192.40.0/23
176.124.198.0/23
185.229.65.0/24
79.137.202.0/23
79.137.207.0/24
85.192.63.0/24
89.185.85.0/24
212.113.116.0/24
77.91.78.0/24
79.137.206.0/24
79.137.248.0/24
80.85.241.0/24
185.174.137.0/24
77.91.84.0/22
89.208.104.0/22
89.208.103.0/24
193.233.232.0/24
193.233.233.0/24
77.105.146.0/23
94.228.168.0/24
94.228.169.0/24
45.15.157.0/24
193.233.133.0/24
81.19.137.0/24
94.228.162.0/24
94.228.163.0/24
94.228.164.0/23
77.91.70.0/24
178.236.246.0/23
194.67.201.0/24
95.181.173.0/24
109.107.181.0/24
77.232.142.0/23
109.107.190.0/24
5.182.86.0/24
5.182.87.0/24
109.107.189.0/24
217.196.98.0/24
217.196.103.0/24
217.197.107.0/24
94.142.138.0/24
91.103.252.0/23
77.105.166.0/24
77.105.167.0/24
185.225.200.0/24
185.225.201.0/24
217.196.106.0/23
91.108.240.0/24
91.108.241.0/24
185.217.197.0/24
92.246.136.0/24
92.246.137.0/24
92.246.138.0/24
92.246.139.0/24
147.45.40.0/24
147.45.41.0/24
147.45.42.0/24
147.45.43.0/24
147.45.68.0/24
147.45.69.0/24
147.45.70.0/24
147.45.71.0/24
147.45.72.0/23
147.45.74.0/23
147.45.76.0/23
147.45.78.0/23
46.226.160.0/23
46.226.162.0/23
46.226.166.0/23
77.221.136.0/22
77.221.140.0/22
176.124.220.0/24
176.124.221.0/24
109.120.184.0/23
109.120.186.0/24
109.120.187.0/24
77.221.152.0/23
77.221.154.0/23
77.221.156.0/23
77.221.158.0/23
89.169.52.0/23
89.169.54.0/23
109.120.176.0/23
109.120.178.0/23
77.221.149.0/24
109.120.132.0/23
109.120.134.0/23
109.120.156.0/23
212.113.100.0/24
212.113.101.0/24
212.113.102.0/24
212.113.103.0/24
193.233.114.0/23
185.230.143.0/24
185.197.74.0/24
193.188.20.0/24
193.188.21.0/24
77.221.151.0/24
109.120.155.0/24
109.120.152.0/24
194.113.106.0/24
193.188.22.0/24
46.226.164.0/23
77.221.148.0/24
185.106.93.0/24
109.120.150.0/24
109.120.151.0/24
89.22.224.0/21
77.91.77.0/24
109.237.99.0/24
176.124.222.0/24
91.103.140.0/24
193.33.153.0/24
109.237.98.0/24
85.192.60.0/24
85.192.61.0/24
89.208.96.0/24
89.208.97.0/24
89.22.232.0/21
217.144.184.0/24
217.144.185.0/24
217.144.186.0/24
217.144.187.0/24
217.144.188.0/24
217.144.189.0/24
217.144.190.0/24
217.144.191.0/24
78.153.136.0/24
185.125.100.0/24
185.125.101.0/24
185.125.102.0/24
85.192.42.0/24
176.124.202.0/24
176.124.203.0/24
89.169.32.0/23
89.169.34.0/23
176.124.204.0/24
176.124.205.0/24
176.124.206.0/24
176.124.207.0/24
194.87.85.0/24
195.133.18.0/24
195.133.26.0/24
212.192.246.0/24
212.192.248.0/24
212.193.31.0/24
91.184.240.0/24
91.184.241.0/24
91.184.242.0/24
91.184.243.0/24
193.124.203.0/24
194.87.77.0/24
194.87.189.0/24
195.133.28.0/24
195.133.2.0/24
194.87.29.0/24
109.120.138.0/24
109.120.139.0/24
109.120.140.0/24
185.125.230.0/24
185.128.104.0/24
178.236.244.0/24
85.192.24.0/24
85.192.25.0/24
85.192.26.0/24
85.192.27.0/24
95.181.167.0/24
95.181.174.0/24
95.181.175.0/24
185.221.196.0/24
193.232.178.0/24
194.226.169.0/24
95.181.160.0/24
95.181.162.0/24
62.60.154.0/24
62.60.155.0/24
62.60.156.0/24
62.60.157.0/24
62.60.158.0/24
62.60.159.0/24
62.60.236.0/24
62.60.237.0/24
62.60.238.0/24
62.60.239.0/24
62.60.216.0/24
62.60.217.0/24
82.117.87.0/24
109.172.94.0/24
109.172.95.0/24
150.241.64.0/24
150.241.65.0/24
150.241.66.0/24
150.241.67.0/24
150.241.68.0/24
150.241.69.0/24
150.241.70.0/24
150.241.71.0/24
150.241.72.0/24
150.241.73.0/24
150.241.74.0/24
150.241.75.0/24
150.241.76.0/24
150.241.77.0/24
150.241.78.0/24
150.241.79.0/24
150.241.80.0/24
150.241.81.0/24
150.241.82.0/24
150.241.83.0/24
150.241.84.0/24
150.241.85.0/24
150.241.86.0/24
150.241.87.0/24
150.241.88.0/24
150.241.89.0/24
150.241.90.0/24
150.241.91.0/24
150.241.92.0/24
150.241.93.0/24
150.241.94.0/24
150.241.95.0/24
150.241.96.0/24
150.241.97.0/24
150.241.98.0/24
150.241.99.0/24
150.241.100.0/24
150.241.101.0/24
150.241.102.0/24
150.241.103.0/24
85.192.28.0/24
85.192.29.0/24
85.192.30.0/24
85.192.31.0/24
185.125.103.0/24
213.108.21.0/24
213.108.22.0/24
213.108.23.0/24
62.60.244.0/24
62.60.245.0/24
95.163.152.0/24
95.163.153.0/24
79.137.184.0/24
85.192.37.0/24
62.60.246.0/24
213.108.20.0/24
62.60.247.0/24
62.60.248.0/24
62.60.249.0/24
62.60.250.0/24
62.60.251.0/24
178.20.209.0/24
62.60.152.0/24
62.60.153.0/24
178.20.208.0/24
45.150.32.0/24
45.150.33.0/24
62.60.148.0/24
62.60.149.0/24
62.60.150.0/24
62.60.151.0/24
79.137.192.0/24
213.176.64.0/24
213.176.65.0/24
213.176.66.0/24
213.176.67.0/24
138.124.124.0/24
138.124.127.0/24
62.60.228.0/24
62.60.229.0/24
213.176.93.0/24
213.176.94.0/24
62.60.230.0/24
62.60.231.0/24
213.176.92.0/24
213.176.95.0/24
213.176.74.0/24
213.176.75.0/24
91.186.216.0/24
91.186.217.0/24
91.186.218.0/24
91.186.219.0/24
138.124.18.0/24
138.124.24.0/24
138.124.25.0/24
138.124.26.0/24
138.124.29.0/24
138.124.34.0/24
138.124.35.0/24
138.124.49.0/24
138.124.123.0/24
138.124.50.0/24
138.124.51.0/24
138.124.52.0/24
138.124.53.0/24
138.124.54.0/24
138.124.55.0/24
138.124.58.0/24
138.124.59.0/24
138.124.78.0/24
138.124.89.0/24
138.124.90.0/24
138.124.91.0/24
138.124.92.0/24
138.124.93.0/24
138.124.60.0/24
138.124.99.0/24
138.124.101.0/24
138.124.13.0/24
103.71.22.0/24
138.124.14.0/24
138.124.102.0/24
138.124.103.0/24
138.124.108.0/24
138.124.109.0/24
138.124.110.0/24
138.124.112.0/24
138.124.113.0/24
138.124.114.0/24
138.124.115.0/24
138.124.116.0/24
138.124.117.0/24
138.124.118.0/24
138.124.119.0/24
138.124.61.0/24
62.60.186.0/24
62.60.235.0/24
103.71.23.0/24
83.147.253.0/24
94.228.170.0/24
77.91.76.0/24
83.147.254.0/24
83.147.252.0/24
103.249.132.0/24
103.249.133.0/24
103.249.134.0/24
103.249.135.0/24
83.147.255.0/24
83.147.216.0/24
104.238.29.0/24
178.253.55.0/24
85.192.38.0/24
89.208.113.0/24
95.163.176.0/24
85.239.144.0/24
85.239.146.0/24
85.239.147.0/24
85.239.149.0/24
85.239.151.0/24
185.95.156.0/24
185.95.159.0/24
192.109.200.0/24
192.109.139.0/24
77.239.124.0/24
91.92.35.0/24
91.92.40.0/24
91.92.42.0/24
91.92.43.0/24
77.239.96.0/24
77.239.97.0/24
77.239.98.0/24
77.239.99.0/24
77.239.100.0/24
77.239.101.0/24
77.239.102.0/24
77.239.103.0/24
77.239.112.0/24
77.239.113.0/24
77.239.114.0/24
77.239.125.0/24
45.134.12.0/24
77.239.115.0/24
77.239.116.0/24
77.239.117.0/24
77.239.118.0/24
77.239.119.0/24
77.239.120.0/24
77.239.121.0/24
77.239.122.0/24
77.239.123.0/24
213.176.112.0/24
213.176.113.0/24
213.176.114.0/24
213.176.115.0/24
45.144.54.0/23
194.33.34.0/24
193.29.224.0/24
193.29.225.0/24
91.186.212.0/24
91.186.213.0/24
194.33.35.0/24
83.147.192.0/24
# Добавь оставшиеся IP-адреса сюда
)

# Применение правил
for ip in "${IPS[@]}"; do
    iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $ip -p tcp --dport 443 -j DROP
done

# Сохранение правил
iptables-save > /etc/iptables/rules.v4

echo "IP-адреса успешно заблокированы."

Если просто копировать текст - то в notepad++ или аналогичном редакторе надо будет для файла поменять перенос строки на LF, чтоб на *nix машинках адекватно работал как исполняемый

Пользователь 182977

Посетитель

Сообщений: 42 Баллов: 6 Регистрация: 26.09.2013

#190

13.03.2025 03:26:25

Цитата

написал:

Цитата
написал: написали разработчикам уже, попросили прокомментировать ситуацию, физически разработчик у решения один, как я понимаю

Дали ответ?

Да, подтвердили уязвимость в старых версиях своих модулей, в 2023 году обновлением были закрыты эти уязвимости.

Пользователь 6064 Заглянувший Сообщений: 8 Регистрация: 27.09.2006	#191 13.03.2025 09:00:42 А не подскажите, ставлю патч от Аспро и на всех страницах сайта стала вылазить авторизация.

Пользователь 290924

Заглянувший

Сообщений: 3 Регистрация: 20.07.2016

#192

13.03.2025 09:21:08

Цитата
написал: Тоже на проектах были установлены модули kda и esol, анализируем сейчас логи.

+Тоже на сайтах где нет аспро появились вирусы не могли понять откуда. Импорт\Экспорт от esol виновник как можно было такую дыру оставить. Уже не раз были вопросы к этому решению в плане производительности при запуске нескольких задач напрямую через системный крон. Что даже переделывали на агенты, если бы разработчик делал на них никаких бы проблем не было. Еще решение добавляет себя в исключение в модуле проактивной защиты, просто комбо....

Пользователь 1242163

Посетитель

Сообщений: 22 Баллов: 3 Регистрация: 30.06.2017

#193

13.03.2025 10:17:43

Цитата
написал: плюс появились попытки атак через новые файлы:/bitrix/admin/esol_allimportexport_cron_settings.php/bitrix/admin/esol_import_excel_cron_settings.php/bitrix/admin/esol_export_excel_cron_settings.php/bitrix/admin/kda_import_excel_cron_settings.php/bitrix/admin/kda_export_excel_cron_settings.php

вчера вышел патч от разработчика,
там помимо данных файлов еще закрывалась дыра в этом:

/bitrix/admin/esol_massedit_profile.php — это от другого их модуля

у кого установлен "Массовая обработка элементов инфоблока (товаров)" от ESOL — срочно проверяйте дыру!

судя по тому, что сегодня уже рано утром пошли попытки атак через POST-запрос к этому файлу,
мамкины хакеры возможно активно мониторят данную тему...

Код
POST /bitrix/admin/esol_massedit_profile.php HTTP/1.0" 403 GET /752a2abf61d7.php HTTP/1.1" 404

Пользователь 3255835 Заглянувший Сообщений: 2 Регистрация: 29.06.2019	#194 13.03.2025 11:32:26 Сергей, подскажите, какая именно была уязвимость? простого удаления файлов достаточно? а если нужен функционал?

Пользователь 23748

Гуру

Сообщений: 2779 Баллов: 451 Регистрация: 20.04.2008

АКРИТ Веб-студия

#195

13.03.2025 11:51:45

Вот в корне сайта файл с кодом, и список уязвимых модулей

$arFiles = array(
'/bitrix/modules/esol.allimportexport/admin/cron_settings.php',
'/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php',
'/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php',
'/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php',
'/bitrix/modules/esol.massedit/admin/profile.php',
'/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php',
'/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php',
);
$cnt = 0;
foreach($arFiles as $fn)
{
$fn = $_SERVER['DOCUMENT_ROOT'].$fn;
if(file_exists($fn))
{
$c = file_get_contents($fn);
if(stripos($c, '403 Forbidden')===false)
{
file_put_contents($fn, "<?if(isset(\$_REQUEST['path']) && strlen(\$_REQUEST['path']) > 0)
{
header((stristr(php_sapi_name(), 'cgi') !== false ? 'Status: ' : \$_SERVER['SERVER_PROTOCOL'].' ').'403 Forbidden');
die();
}
?>".preg_replace('/@exec\(\$phpPath.\' \-v\'/', '//$0', $c));
$cnt++;
}
}
}
unlink(__FILE__);

echo 'patched:'.$cnt.'.';

код патчит файлы админок

Веб-студия АКРИТ Увеличьте продажи трансформировав сайт в сеть торговых точек в интернете

Пользователь 23748 Гуру Сообщений: 2779 Баллов: 451 Регистрация: 20.04.2008 АКРИТ Веб-студия	#196 13.03.2025 11:57:12 вообще по хорошему если есть не обновленные модули то все надо обновить. Веб-студия АКРИТ Увеличьте продажи трансформировав сайт в сеть торговых точек в интернете

Пользователь 4276538 Заглянувший Сообщений: 2 Регистрация: 18.03.2022	#197 13.03.2025 14:35:27 Официоз: https://t.me/bitrixkiberbez/13

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#198

13.03.2025 15:34:08

Всем привет! Снесите модули все через сервак от ROOT, вычистите код и мусор от модулей , заново поставьте, жертвуем только настройками и шаблонами этих модулей. Я пока снес все модули от этих разработчиков. С авторизацией стало странно, все доступы сменил. Подскажите в чем может быть проблема? На всякий случай закрыл админку с других IP

Прикрепленные файлы

входы в админку.jpg (16.31 КБ)

Пользователь 2663075

Постоянный посетитель

Сообщений: 100 Баллов: 18 Регистрация: 20.11.2018

#199

13.03.2025 15:42:18

привет всем.
несколько наработок, коллеги и владельцы сайтов - используйте:
1. Да, обновить все в любом случае (и битрикс и модули все).
2. сайт в гит целиком (кроме upload и еще некоторых) - тогда можно пока все дыры не заткнуты через git status git add . git reset —hard HEAD откатить вирусняк по крайней мере. gitignore скину сейчас
3. в init.php такой код (с правками от 15.03.2025):

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
}else{
$cont=mb_strtolower($_SERVER['QUERY_STRING']);
}

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || (strpos($cont,'action=getphpversion')!==false && strpos($cont,'path=')!==false && strpos($cont,'echo')!==false) ){
die('Все, лесом ребята');
}
}
отрезает часть попыток.

4. Сделал автонастройщик и плагины под БУС для ISPManager (Debian 12 и Ubuntu 22.04) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins
Пока документация и статьи еще в процессе + жду PHP84 как у ISP из беты выйдет. Но можно использовать. Там файлик есть для nginx (с форума битрикса доработанные правила, часть тоже отрезает из хакеров) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins/blob/main/core/files/server/etc/nginx/v...

.gitignore кому нужен:
/.idea/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/html_pages/
/bitrix/tmp/
/bitrix/updates/
/bitrix/backup/
/upload/
/stats/
/logs/
/bitrix/.settings.php
/bitrix/error.log
/bitrix/modules/updater.log
/bitrix/modules/updater_partner.log
/bitrix/modules/install.log
/bitrix/modules/xmppd.log
/bitrix/site_checker_*.log
/log.txt
*.log
/xmpp_dump_*
/local/cron-run/*
/local/tmp/
/local/php_interface/cron/manual.load.catalog/files/
/robots.txt
/sitemap.xml
/sitemap_*.xml
/google*.html
/yandex*.html
/yandex*.txt
/bitrix/catalog_export/
/bitrix/modules/statistic/ip2country/cidr_optim.txt
/bitrix/modules/statistic/ip2country/cities.txt
/bitrix/ammina/
/bitrix/ammina.cache/
/seofiles/
/local/cron/system/cron-run/
/bitrix/modules/statistic/ip2country/GeoLite2-City.zip
/bitrix/modules/statistic/ip2country/GeoLite2-City.csv
/bitrix/error.log.old
*.zip
*.txt
*.log
*.xml

И при загрузке кстати репы на компьютер с касперским он часть кода тоже определяет вирусного. но не все

5. Бэкапы!Бэкапы!Бэкапы! Сегодня появился еще вирус - все файлы php заменяет и ничего не сделать - только бэкап. Можно нашим модулем на яндекс диск https://marketplace.1c-bitrix.ru/ammina.backup . Настраивайте ежедневное копирование и храните копий 5 хотя бы. можно несколько схем - базу+полный+без папки upload, ежедневный за неделю хранить, еженедельный - месяца за 2-3. Чтото да восстановите если совсем плохо будет.

Про вирус

Пользователь 2663075 Постоянный посетитель Сообщений: 100 Баллов: 18 Регистрация: 20.11.2018	#200 13.03.2025 15:47:34 что касается горячо любимых мамкиных хакеров, которые наверняка читают эту тему - ребята, вы можете сколько угодно ядом сочиться и делать подлости русским и другим народам на территории РФ - карму никто не отменял. она автоматически работает в момент когда подлость делаете. как вылезет никто не скажет - может заболеете, может под машину попадете, может кто то из близких пострадает - в любом случае за каждое действие отвечать всегда приходится. можете сейчас поржать, но когда что то случится с вами - этот пост вспомните и расскажите таким же подлецам - авось и спишется пара процентов если удержите кого-то от делания гадостей. Про вирус

Заражение сайтов

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером