Антон Иванов (Все сообщения пользователя)

Так вся тема с самого начала буквально про эту уязвимость, и уже больше месяца как опубликованы инструкции по закрытию этой дыры.  

Алексей, Подскажите, этот код надо вставлять в bitrix/php_interface/init.php?
А какие то классы, модули подключать надо?
У меня на все куски коды там всегда вначале идет что-то вроде:и тд

Вы не сказали самого главного - через какой файл вас заразили изначально?

Я думаю, что за годы самой популярности уязвимости наверняка нашлись те, у кого возник такой же вопрос. Подождем ответа)

Не поломается ли функционал админки от такого блока?
Хотелось бы получить точный ответ  

А по верхнему сообщению https://dev.1c-bitrix.ru/support/forum/messages/forum6/topic147346/message760742/#message760742
можете ответить?
Движок НЕ актуален.

Я лишь процитировал предыдущее сообщение несколько страниц назад. Проблема не моя, просто я на чужой проблеме хочу обезопасить себя.

Такой вопрос
Во всех мануалах по закрытию дыр указано, что для файлов:

Перед функцией «require_once» добавить следующий код:

Но например в файле bitrix/tools/upload.php там идет всего 1 строка:А в этом уже, на который ссылается, есть «require_once». Так в итоге нам куда этот защитный код вставлять?
В первый файл перед require, или в конечный файл перед require_once?

А как закрыть эту дыру?

Через какой файл взломали вас, выяснили?

Логи смотрели?
Через какой файл прошло заражение? Он был пропатчен?

вчера смотрел по логам и обнаружил немного новое поведение - наши крысы прям перебирали айпишники для атакующих запросов (запросы всё те же). И запросы были по 1 или по 2 с каждого ip (разный ip относился к разной ASN), точечно, а не десятками сразу скриптом, как раньше.

То что они не нужны это понятно, но тут речь о том, что при обращении к ним вы лепите банан, а сам битрикс в некоторых сценариях как я понимаю "посылает" юзера на эти файлы (даже при том, что их не существует на сервере, как в моем случае)
Ну смотрите сами.

В своих логах видел, что запрос к этой странице поступает и от обычных юзеров иногда.

Ip адреса те же самые, которые атакуют и битрикс?

5) Добавляем список диапазонов по AS в блок-лист

Скорее всего в новых версиях баг уже пофиксили. Самый 1ая версия патча клала сайт беспощадно.
Но сам я запускать его уже всё равно пока ещё не буду))) пусть настоится

Так а за что вообще эти 2 файла отвечают, кто-то знает? Я оба эти файла киданул в архив и удалил с папок, функционал сайта вроде никак не поменялся.

/ajax/error_log_logic - а этого файла у меня вообще никогда и не было, скорее всего это и спасло от вчерашней утренней атаки

Защита может и хорошая, да вот только с такой настройкой не работает корзина от слова совсем, т.е. функционал сайта по сути критично поломан.

Я же правильно понимаю, что например если в папке вирус что-то бы даже создал и удалил в корнях папок, то эта папка поменяла бы дату своего последнего изменения в этот момент? Через winSCP например это отображено. Или это не панацея, и могут ухитрится и поменять атрибуты даты:времени, замаскировавшись ?

Удалил его к чертям, как и ajax/form
Беглый тест ошибок пока не выявил

Вы всерьез думаете, что у хакеров нет исходников продукта битрикс (в частности аспро) и они не дебажат по логам то, что ломают у себя же на практике??пффффф......

Я правильно понимаю, что если в логах именно  запросы к новосозданным файлам типа 6d097dd98a.php неудачные, тогда защита сработала?
Типа "GET /ajax/a9279bd1e7db.php HTTP/1.0" 404

А если такое проходит?
45.142.122.46 - - [10/Feb/2025:04:09:45 +0300] "GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0" 200 85937 "https://.ru:443/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2684.12 Safari/537.36"

Это вариант нормы? При этом в папке не появилось левых файлов, включая js_error.txt

!!!!!!!!!!!!! Ни в коем случае не запускайте данный патч в режиме исправления, если не хотите положить сайт !!!!!!!!!!
Только в режиме просмотра.
При исправлении там сплошные синтаксические ошибки, задвоения аргументов и т.п.

Можете поделиться, что именно сделали?

Еще щас прошелся по все файлам 30 янв - 6 фев (именно 30.01 моя дата взлома), нашел измененный bitrix/templates/aspro/footer.php
Там в самом низу были в див завернуты невидимые ссылки на порнушные сайты. (дата изменения 4.02, дыру закрыл 5.02)
Проверяйте у себя, наверняка тоже самое найдете.

Больше ничего прям такого не увидел, но куча файлов кеша... в кеш там тоже всё что угодно можно закинуть...
Наверное проще бекап накатить, пока еще живые остались и сразу закрывать дыры