всем привет, вести с полей:
по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам.
в автоматическом режиме авторизовываются в адмике, переходят в исполнение php кода, ну а дальше уже раскидывают файлики accesson.php, wp-cron.php, wp-blog-header.php, папки wp/
| Код |
|---|
$ cat domain.tld-access.log | grep 138.124.31.112
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 162 0.000 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 22561 0.029 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:44 +0300] domain.tld "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 130 0.079 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:45 +0300] domain.tld "GET /bitrix/admin/php_command_line.php?lang=ru HTTP/1.0" 200 516420 0.236 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:47 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.110 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:48 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.078 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:52 +0300] domain.tld "POST /bitrix/admin/accesson.php HTTP/1.0" 200 9 0.056 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:42:02 +0300] domain.tld "GET /bitrix/admin/570762b20afa.php HTTP/1.0" 200 9 0.001 "https://domain.tld/bitrix/admin/accesson.php" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4" |
несколько раз всё вычищал, пока не понял что в админку входят.
вывод: после того, как почистили не забудьте поменять пароли.
