Разработчикам

Сергей (Все сообщения пользователя)

Заражение сайтов

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.05.2025 22:02:03

Цитата
написал: можно еще блокировать доступ по HTTP ниже 2. никто из нормальных пользователей сейчас не ходит по HTTP/1.1ну и не забыть добавить в исключения нужные сервисы)

Что делать с хорошими поисковыми ботами?Сейчас посмотрел: и Yandex и Google — HTTP/1.0 или /1.1

Код

[28/May/2025:08:02:26 +0300] "GET / HTTP/1.0" 200 208042 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0" [User-Agent: Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0]
[28/May/2025:08:32:34 +0300] "GET / HTTP/1.0" 200 153580 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)&quot; [User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)]

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

13.03.2025 17:24:02

Цитата
написал: if ($_SERVER['REQUEST_METHOD'] == 'POST'){

Добавьте дополнительно аналогичную проверку и для GET.
Они в Аспрошные дыры ( через /ajax/js_error.php и /ajax/error_log_logic.php) те же функции пытаются через GET-запрос пропихнуть.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

13.03.2025 16:47:36

Цитата
написал: вообще по хорошему если есть не обновленные модули то все надо обновить.

по хорошему у Битрикс в базе должна стоять защита (или как минимум опция в проактивном фильтре), там все действия хакеров стандартные и максимально нестандартные для обычных пользователей — попытка через GET или POST пропихнуть функции base64_decode, file_put_contents и т.п. В таком случае — бан и в стоп-лист.

также удивило, что с учетом массовости проблемы, до сих пор в Маркетплейсе нет решений от разработчиков, которые решают эту проблему, хотя... может плохо искал и уже есть.

активно пользуемся вашими модулями, думаю для вашей команды это на вечер задачка )

а так пока сами мини-модуль написали, который в OnPageStart проверят подозрительные запросы и в бан отправляет, но знаний не хватает, чтобы с уверенностью сказать, что точно все плохое блокируется, или в блокировку не улетает и что-то нужное.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

13.03.2025 10:17:43

Цитата
написал: плюс появились попытки атак через новые файлы:/bitrix/admin/esol_allimportexport_cron_settings.php/bitrix/admin/esol_import_excel_cron_settings.php/bitrix/admin/esol_export_excel_cron_settings.php/bitrix/admin/kda_import_excel_cron_settings.php/bitrix/admin/kda_export_excel_cron_settings.php

вчера вышел патч от разработчика,
там помимо данных файлов еще закрывалась дыра в этом:

/bitrix/admin/esol_massedit_profile.php — это от другого их модуля

у кого установлен "Массовая обработка элементов инфоблока (товаров)" от ESOL — срочно проверяйте дыру!

судя по тому, что сегодня уже рано утром пошли попытки атак через POST-запрос к этому файлу,
мамкины хакеры возможно активно мониторят данную тему...

Код
POST /bitrix/admin/esol_massedit_profile.php HTTP/1.0" 403 GET /752a2abf61d7.php HTTP/1.1" 404

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.03.2025 10:41:27

еще один момент,в последнее время попытки атак идут преимущественно с серверов AEZA
сегодня атаковали все сайты по несколько раз с IP — 85.192.30.151 (AEZA RU)

правильно понимаю, что можно смело банить все подсети AEZA?
вероятность, что это реальный посетитель минимальна, разве что кто поднял там собственный VPN и серфит интернет через него

или все сложней? кто вникал в вопрос?
и где можно в онлайне актуальный список всех статей AEZA посмотреть?

UPD.
список подсейтей они сами отдают, ссылку можно через whois посмотреть — https://aeza.net/static/ipv4_f.csv

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.03.2025 09:03:07

сегодня заметили новое поведение, возможно это началось и ранее:

из старых дыр попытки атак идут только по двум файлам (остальные из логов пропали):
/ajax/error_log_logic.php
/ajax/js_error.php

плюс появились попытки атак через новые файлы:
/bitrix/admin/esol_allimportexport_cron_settings.php
/bitrix/admin/esol_import_excel_cron_settings.php
/bitrix/admin/esol_export_excel_cron_settings.php
/bitrix/admin/kda_import_excel_cron_settings.php
/bitrix/admin/kda_export_excel_cron_settings.php
и
/api/parser/index.php — ???
В основном это файлы от этих разработчиков: esolutions.su и mayakit.ru, так что:

Цитата
написал: эх, аспро

аспро в данном случае может и не причем...

чей файл /api/parser/index.php не очень понимаю, если кто знает, напишите.

у нас таких файлов нет, плюс доступ к административной части закрыт по IP,
но обращения к данным файлам добавили в обработчик, чтобы сразу в стоп-лист банить IP, которые ими интересуются.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.02.2025 14:01:23

Цитата
написал: Заменить $url_sizes на false??

про $url_sizes не подскажу,
но у Аспро в патчере так:

Код

                'patch_files' => [
                    '/form/index.php' => [
                        [
                            '<?elseif($form_id == \'TABLES_SIZE\'):?>',
                        ],
                        '<?// Don\'t use it! Update the module!?>'."\n".'<?elseif($form_id == \'TABLES_SIZE\' && false):?>',
                    ],
                    '/ajax/form.php' => [
                        [
                            '<?elseif($form_id === \'TABLES_SIZE\'):?>',
                            '<?elseif($form_id == \'TABLES_SIZE\'):?>',
                        ],
                        '<?// Don\'t use it! Update the module!?>'."\n".'<?elseif($form_id == \'TABLES_SIZE\' && false):?>',
                    ],
                ],

и дополнительно проверка, что данные файлы небезопасные:

Код
{ if (false !== strpos($content, 'file_exists($url_sizes)')) { break; }

типа, если в этих файлах есть код "file_exists($url_sizes)", то файл уже пропатчен и форму можно не отключать.

но мы тупо сразу отключили данный вариант через добавление "&& false",
если правильно понял — это возможность использования собственных кастомных форм, код которых хранится в отдельных инклюд-файлах.скорее-всего это мало кто использовал, мы точно нет.

сама дыра была в том, что через эти формы "TABLES_SIZE" можно было загружать инклюду из файла в любой дерриктории, в т.ч. текущей, чем и пользовались негодяи — подгружая js_error.txt из текущей директории,или, возможно как пишете Вы, с удаленного сервера (???).

после закрытия дыры, инклюду можно загружать только при условии, что она обязательно лежит строго на сервере и в папке /include/

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.02.2025 13:28:01

Цитата
написал: Похоже появился третий способ записи в js_error.txt - через Referer ))

блин! и интересно и тревожно, поделитесь потом результатами обязательно?

а в файлах /ajax/form.php или /form/index.php
дыра закрыта у Вас была?

вместо:
elseif($form_id === 'TABLES_SIZE'):

так:
elseif($form_id === 'TABLES_SIZE' && false):

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.02.2025 13:24:19

Цитата
написал: Добрый день! А что значит запускать в режиме просмотра?

ВАЖНО!
Если патчер спрашивает "запускать в режиме просмотра", то скорее-всего у Вас ранняя версия патчера, он проверяет только дыру с unserialize.

В последней версии патчера такой галочки нет.
Отдельно кнопки:
- Сканировать
- Удалить скрипт
- Исправить выбранные

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.02.2025 13:08:08

Цитата
написал: Да, js_error.txt отсутствовал.

да, если есть дыра, то его удаляют сами вредоносные команды!
посмотрите лог, там в конце длинных строк идет удаление этого файла:

Код
DY1Il0pO319Pz4K%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

28.02.2025 13:04:50

Цитата
написал: Судя по всему это дерьмо действует через REFERER (бегло глянул - действительно в запрашиваемых скриптах имеется некая обработка Referer).Вот вся цепочка атаки (время - запрос - referer):

проверьте у себя наличие файлов:
/ajax/error_log_logic.php
/ajax/js_error.php

если они есть, то 99% взломали с использованием этих файлов.

по факту у Аспро были дыры минимум двух типов:
1) опасный unserialize — лечится, через добавление allowed_classes
2) запись вредоносного кода в лог-файл js_error.txt через дыру в /ajax/error_log_logic.php, а далее запуск этого кода как инклюда при вызове "дырявых" /ajax/form.php или /form/index.php

и Аспро было уже как минимум две версии патчера:
1) лечил только unserialize
2) во втором также закрывалась вторая дыра путем удаления дырявых файлов /ajax/error_log_logic.php и /ajax/js_error.php и закомментирования небезопасного когда в /ajax/form.php и /form/index.php.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 16:56:28

Цитата

написал:
То что они не нужны это понятно, но тут речь о том, что при обращении к ним вы лепите банан, а сам битрикс в некоторых сценариях как я понимаю "посылает" юзера на эти файлы (даже при том, что их не существует на сервере, как в моем случае)Ну смотрите сами.

да, думал об этом,
но решил перестраховаться и банить с избытком, в т.ч. при обращении к '/ajax/show_basket_fly.php' и '/ajax/reload_basket_fly.php' (мы их в проектах не используем),
а далее уже разбираться и смотреть логи, кого и почему забанили... и, если что, то вносить правки в логику.

за несколько дней защита сработала два раза,
в обоих случаях была именно атака с попыткой засунуть вредоносный контент с использованием file_put_contents.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 14:13:01

Цитата
написал: Цитата написал:/ajax/error_log_logic.phpВ своих логах видел, что запрос к этой странице поступает и от обычных юзеров иногда.

здесь затрудняюсь сказать,
сам исходил из последней версии патча от Аспро, у них на удаления стоят следующие файлы из всех директорий (и рабочих и установочных):

Код
'unlink_files' => [ '/ajax/error_log_logic.php', '/ajax/_error_log_logic.php.back', '/ajax/js_error.php', '/ajax/_js_error.php.back', '/ajax/js_error.txt', '/ajax/_js_error.txt.back', ],

раз Аспро их удаляет, значит не особо и нужны они.

если удалять не хочется, то тогда закооментировать строку с AddMessage2Log — это обязательно

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 14:07:52

Цитата
написал: Ip адреса те же самые, которые атакуют и битрикс?

не... эта другая категероия, эти тупо ищут перебором файлы WP с уязвимостями, даже не заморачиваясь, что у нас другой движок, в принципе опасности от них особой нет, но для профилактики всех в бан теперь.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 13:17:12

Цитата
написал: 5) Добавляем список диапазонов AS210644 и AS216246 в блок-лист

)
мы обработчик написали на OnPageStart
и если запрос к "неправильным" страницам (/form/index.php, /ajax/error_log_logic.php, /js_error.txt и т.п.)
или запрос к любой странице содержащей в адресе *ajax* с параметрами file_get_contents, file_put_contents, base64_decode,
то сразу стоп и IP-адрес в стоп-лист на долгое время.

За два дня две попытки было искать дыру — сразу в бан ушли.

Заодно туда прописали запрет на страницы /wp-admin/ и т.п.
Только сегодня уже более двадцати раз блокировка срабатала на искателей дыр от WordPress.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 12:52:14

Цитата
написал: или в совсем ранних версия тоже дыра-дыра была и можно было загружать любой файл?

посмотрел, что исправляет новый патч от Аспро, получается, что дыру в /ajax/form.php они уже давно закрыли,
в моем случае

Код
elseif($form_id === 'TABLES_SIZE'):

они за дыру не считают и && false не добавляют,
у них в скрипте идет доп. проверка на присутствие в файле кода:

Код
file_exists($url_sizes)

и если код присутствует, то они считают, что /ajax/form.php не дырявый и исправлять его не надо.
Но когда-то давно дыра в файле судя по всему была, раз ее исправляют.

Итого по последним уязвимостям, как понять была дыра и могли сломать (если могли сломать, то скорее-всего сломали):
1. если есть файл /form/index.php — то дыра есть практически наверняка
2. если в файле /ajax/form.php нет кода file_exists($url_sizes) и есть код $form_id === 'TABLES_SIZE' — то дыра есть практически наверняка

И по файлу /ajax/js_error.txt — его присутствие означает, что была попытка взлома, но скорее-всего она была неудачная, т.к. при наличии дыры данный файл должен был бы удаляться после загрузки на сервер вредоносного файла.
Сам файл js_error.txt — это лог ошибок и не является взломом сайта, а только успешная и опасная подготовка к дальнейшему взлому, если на сайте не закрыта дыра.

В любом случае при наличии этого файла:
1) удаляем файл /ajax/error_log_logic.php — именно через него создавался js_error.txt и по мнению Аспро он больше не нужен и его можно удалить
2) удаляем файл /ajax/js_error.txt
3) проверяем наличие дыры (см. выше), если дыры нет — скорее-всего сайт не взломали
4) обязательно смотрим лог!!!

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 01:21:43

Цитата

написал:
Кто-то еще применял патч? После него были заражения?Этот патч находит все файлы с уязвимым кодом и меняет его на $arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]); Может еще что-то добавляет в аспрошных классах, там не смотрел.

запускал в режиме поиска и далее правил руками, т.к. где-то "unserialize" собирается и передается далее в виде текстовой строки и не было уверенности, что на автомате корректно исправит код с одинарными и двойными кавычками.

вышла новая версия патча:
дополнительно удаляет (в т.ч. из служебных папок):'/ajax/error_log_logic.php',
'/ajax/js_error.php',
'/ajax/js_error.txt'

и "лечит" /form/index.php и /ajax/form.php
способом 'TABLES_SIZE' && false

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

12.02.2025 01:08:24

Цитата

написал:
По поводу нового алгоритма взлома - если я правильно понял логику, то с помощью файла /ajax/error_log_logic.php создаётся лог-файл /ajax/js_error.txt, но внутри его содержимое - это вредоносный PHP.А потом в файлах /ajax/form.php и /form/index.php с помощью GET-параметра "url" этот js_error.txt просто инклудится (и исполняется соответственно, раз уж внутри PHP).

Пытаюсь разобраться, была ли дыра на сайтах или ранее все было закрыто.

Файл /form/index.php на сайтах уже был удален, но судя по бекапу там прям дыра-дыра и можно было заинклюдить любой файл, чем и пользуются злоумышленники.

Файл /ajax/form.php на сайтах есть,
шли попытки загрузки инклюды через запрос /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
но вообще не понимаю, каким образом можно было через него загрузить файл,
если внутри идет проверка, что загружаемый файл обязательно должен лежать в папке /include/

Код
if( $url_sizes && strpos(realpath($url_sizes), realpath($_SERVER['DOCUMENT_ROOT'].SITE_DIR.'include')) === 0 && file_exists($url_sizes) )

посмотрел прошлые забекапленные версии, там тоже проверка на папку "/include/" присутствует.

или в совсем ранних версия тоже дыра-дыра была и можно было загружать любой файл?

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

10.02.2025 20:04:07

Цитата
написал: Если в логах есть хоть один ответ 200 к файлам типа ajax/7909e3e68924.php или e3e68/index.php, то сайт взломан и злые люди получили доступ ко всем файлам и к подключению к базе.

вроде обошлось, по логам все запросы к файлам были неудачные,
сканирование сервера новых / свежеизмененных непонятных файлов не выявило (в т.ч. в папке upload, папки с кешем не проверял, сразу снес их)
кроме файла js_error.txt, в который писались ошибки при обращении через error_log_logic.php, но это, если правильно понял, не самое страшное.

по рекомендациям сделал по-максимуму, спасибо:
- закомментировал AddMessage2Log, чтобы вообще блокировать создание js_error.txt
- добавил false к TABLES_SIZE и CRM
- добаил die при попытке вызова file_put_contents и base64_decode
- ну и забанил сетку с нехорошим IP — 45.142.122.46

если кто посоветует, что еще проверить кроме новых / свежеизмененных файлов, буду признателен!

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

10.02.2025 13:16:17

Цитата
написал: Другой сайт на Аспро-Максимум обновлялся регулярно (последнее 25 декабря), все равно там есть вирусня.в файле js_error.txt такое

правильно понимаю, что наличие файла js_error.txt — это попытка взлома, но еще не сам взлом сайта?
на проектах появились эти файлы, с попытками создать файлы типа ajax/7909e3e68924.php
и по логам потом попытки обращений к этим файлам, но безуспешные.

анализирую сервер на наличие новых файлов, вроде пока чисто

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

05.02.2025 11:27:06

Цитата
написал: Они давно рассылали рекомендации на е-мейл по закрытию уязвимости ( для unserialize добавить ['allowed_classes' => false]), которую я и сделал еще тогда. Но это не помогло

а какая у Вас версия PHP?
на ранних версиях allowed_classes не поддерживался.

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

05.02.2025 11:15:40

Цитата
написал: А можно как то подытожить, какие файлы и что именно в них нужно поменять?

поддержу.
просьба! скиньте дырявые строки кода, который изначально были в проблемных файлах:
reload_basket_fly.php
show_basket_fly.php
show_basket_popup.php

уточню вопрос:
$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));

это - дыра, правильно?

а если в файлах так:
$arParams = Solution::unserialize(urldecode($_REQUEST["PARAMS"]));

то это - дыра или уже ранее пофиксили?

Перейти

Заражение сайтов

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

04.02.2025 23:43:22

Вопрос по файлам:
reload_basket_fly.php
show_basket_fly.php
show_basket_popup.php

А какой именно код является небезопасным?
Правильно понимаю, что речь идет про проблемный код:
<?$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));?>

И если в файлах он уже исправлен на:

<?$arParams = Solution::unserialize(urldecode($_REQUEST["PARAMS"]));?>

то дыра уже была закрыта ранее?

Перейти

Сергей (Все сообщения пользователя)

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером