Разработчикам

Агзамов Раиль (Все сообщения пользователя)

Взломаны сайты в честь дня конституции украины

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

11.02.2024 09:14:17

Цитата
написал: Решение посоветовали такое и вроде как оно сработало.

Этой уязвимости уже лет 5 наверно.
У меня сервера еще на Хецнере были тогда, Хецнер начал сильно ругаться, что есть уязвимость.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

09.02.2024 21:05:20

Цитата
написал: именно он подгружает вирус, а вот где лежит этот сам googletagmanager так и не получилось найти,

Сам ГуглТаг обычно в хедере прописывают, или футере (реже).

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

07.02.2024 19:12:56

Цитата
написал: В журнале постоянные попытки, примеры записей

а сканирование сделали модулем проактивной защиты?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

06.02.2024 21:00:42

Цитата

написал:

Цитата
написал: У меня простой вопрос. Вы установили бесплатный модуль Проактивной защиты, который уже ставится со Старта?

Модуль Проактивной защиты установлен сразу из коробки

Посмотри журнал проактивной защиты, прогони все тесты в нем. Включи все опции

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671 Постоянный посетитель Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011	# 06.02.2024 15:05:11 У меня простой вопрос. Вы установили бесплатный модуль Проактивной защиты, который уже ставится со Старта?
	Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

05.02.2024 19:23:31

Цитата
написал: В агентах сразу смотрел, там все чисто. Спасибо, буду разбираться

Еще крон глянь, и процессы в памяти

Перейти

VMBitrix 7.5.0 в релизе

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

26.01.2024 15:16:30

Столкнулся с майнером.

Как обнаружилось - возросла резко нагрузка на процессор.
Зашел с какого-то из сайтов под стандартными пользователем bitrix.
Создана папка и запущен процесс.
Сейчас ищу дыру.
Вот процесс и созданная папка
bitrix 22302
390 7.3 1200024 439032 ? SNsl Jan18 20617:34
/home/bitrix/moneroocean/xmrig --config=/home/bitrix/moneroocean/config_background.json
Папка - /home/bitrix/moneroocean/
Еще файл был создан - /home/bitrix/.profile

Процесс убил.
Папки и файлы удалил.
Крон чистый.

Перейти

VMBitrix 7.5.0 в релизе

Пользователь 108671 Постоянный посетитель Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011	# 28.12.2023 11:03:39 Алексей Шафранский, Как планируется решать проблему Centos?
	Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

08.12.2023 19:51:03

Цитата
написал: Похоже новая волна пошлаЗначительно увеличилось количество атак по описанному сценарию

Ставьте Проактивную защиту и будет вам счастье

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

22.11.2023 14:13:14

Цитата

написал:

Цитата
написал: а в каком месте его запустить? сейчас посмотрел - нет там дополнительно ничего такого аналогичного

Невнимательно смотрите, либо как вариант у Вас лицензия стандарт и сначала необходимо установить модуль "Проактивной защиты"

Модуль теперь доступен с лицензии Старт

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

31.10.2023 07:59:48

Цитата
написал: действительно, поиск троянов не работает. что интересно, модуль нельзя переустановить, чтобы пофиксить ошибки (теоретически могут быть исправлены повторной установкой)

У меня на всех сайтах работает, а их больше 10 - не считал

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671 Постоянный посетитель Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011	# 06.10.2023 17:22:25 На версию Старт распространили модуль Проактивной защиты. Ставьте, хороший инструмент
	Перейти

VMBitrix 7.5.0 в релизе

Пользователь 108671 Постоянный посетитель Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011	# 06.10.2023 15:55:25 На версию Старт распространили модуль Проактивной защиты. Ставьте, хороший инструмент
	Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

20.09.2023 14:45:56

Цитата
написал: Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

А есть рекомендации от Битрикс, что делать помимо срочных обновлений?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

07.07.2023 16:16:21

Цитата

написал:

Цитата
написал: Htaccess умеет анализировать - у него там отдельная страница проверки есть.

у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

Значит там реально есть проблема, проверьте вручную - сверьте с эталоном

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

05.07.2023 09:07:31

Цитата
написал: модуль поиск троянов с маркета вроде и файлы Htaccess умеет анализировать - у него там отдельная страница проверки есть.

Похоже, что не нашел. Я проверял и htaccess. Можно разработчикам сообщить, чтобы эту угрозу тоже включили в проверку

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

04.07.2023 16:58:09

На что еще обратить внимание:

1. htaccess

В папке upload файл htaccess c эталонного сайта в корне сайта должна иметь вид:

Код

<IfModule mod_mime.c>
   <Files ~ \.(php|php3|php4|php5|php6|php7|phtm|phtml|pl|asp|aspx|cgi|dll|exe|shtm|shtml|fcg|fcgi|fpl|asmx|pht|py|psp|rb|var)>
      SetHandler text/plain
      ForceType text/plain
   </Files>
</IfModule>
<IfModule mod_php5.c>
   php_flag engine off
</IfModule>

На сайте после вирусной атаки имел вид:

Код

<IfModule mod_mime.c>
   RemoveHandler      .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
   AddType text/plain .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
                 
       
</IfModule>
<IfModule mod_php5.c>
   php_flag engine off
</IfModule>

Техподдержка Битрикс порекомендовала поменять.

2. Файлы .access.php
Могут содержать разрешения на запись на несуществующую группу.

3. В корне сайта вирусные файлы с именами:
.500.php
content.php

4. Внутри папок встречаются вирусные скрипты с именами в виде абракадабры
/bitrix/components/bitrix/main.calendar/
/bitrix/components/bitrix/main.auth.changepasswd/

5. В папке /bitrix/admin
маскируется под нормальный файл
blog_lothsome.php
Такого файла не должно быть, вирусное содержание.

Хорошо все ищется антивирусным сканнером с маркетплейса, кроме файлов htaccess и access

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

28.06.2023 12:16:02

Цитата

написал:
Здравствуйте!

В конце мая на нескольких сайтах в некоторых PHP-файлах появился код с большим количеством фрагментов типа "$GLOBALS['____" и функциями base64_decode(). Например, в файле "bitrix/modules/main/lib/UpdateSystem/ActivationSystem.php". Он теперь имеет полностью нечитаемый вид. То же самое в дистрибутиве, скачанном с сайта Bitrix (версия - Стандарт). Поясните, пожалуйста, ситуацию.

Все стандартно, проверяем на вирусы, пишем в ТП

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

11.06.2023 11:16:13

Цитата
написал: Здравствуйте!помогите, пожалуйста.Как писать в поддержку с просроченной лицензией?они такой возможности не дают!Клиентоориентированность хайлевел. Даже при наличии такой уязвимости в их решении.

Если есть просроченная лицензия, то в поддержку может обратиться ваш партнер Битрикс, который вас сопровождает и имеет официальный статус.
Если такового нет, то обращайтесь к специалистам, которые занимались разработкой и сопровождением сайта, чтобы они восстановили работу сайта.
Если и таких нет, тогда надо таких найти. Специалистов по Битрикс, готовых решить вашу проблему достаточно.
Стоимость восстановления будет сопоставимой со стоимостью продления лицензии, а скорее всего и больше.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

28.05.2023 13:24:40

Цитата

написал:
Добрый день!

Такая же история.

В добавок к этому оказались заблокированы интернет провайдерами домены, но только на 443-м порту и только главное зеркало. Причем также оказались заблокированы по https даже домены которые работали только по http. По https главное зеркало открывается только через VPN. В реестре заблокированных сайтов ничего не находит. Смена IP-адреса сайта не помогла. Причем если главное зеркало к примеру без www, то с www через https все работает. На 80-м порту работают оба, как с www так и без www.

Может кто сталкивался? И какие действия предпринять для разблокировки?

Провайдер если блокирует, то объясняет причину. Устраняете причину, провайдер разблокирует. Возможные причины: устанавливается сервер рассылки спама, через ваш сайт с вашего ip атакуются другие сайты: взлом, дос атака, подбор паролей.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

28.05.2023 08:37:44

Цитата

написал:

Цитата

написал:

Цитата
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...

В поддержку писали?
Пишите, напишите сюда ответ.
Мне помогли, больше проблем нет.
Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.

Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?

В поддержку надо было обратиться обязательно. У вас все обновлено, и вам в первую очередь туда - денег за это не берут.
У меня была история с сайтом с просроченной лицензией.
Поддержка попросила доступ, сами все почистили, указали, какие файл исправили, что удалили. Порекомендовали обновить сайт.
Какие файлы? Все тоже самое, что здесь и обсуждалось.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

27.05.2023 15:43:02

Цитата

написал:
Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел marketplace.1c-bitrix.ru/bitrix.xscan , вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?

Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

21.04.2023 14:46:07

Цитата
написал: спасибо, это все сделано.

Я так понимаю, что у вас нет доступа к серверу. Если нет доступа к серверу, то попросите хостера дать информацию, какой скрипт запускает рассылку

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671 Постоянный посетитель Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011	# 21.04.2023 12:23:32 В оперативной памяти сервера (перегрузить или убить процесс), кэш Битрикс вычистить
	Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 141 Баллов: 23 Регистрация: 25.11.2011

02.03.2023 14:45:04

Цитата
написал: Алексей Шибинский, значит процесс в памяти сидит

Типа надо почистить и перезагрузить сервер?

Перейти

Агзамов Раиль (Все сообщения пользователя)

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером