Во первых - логи. А логи это уже постфактум.
Во вторых тело POST запроса не логируется.
Тут важнее во-первых.
Во вторых тело POST запроса не логируется.
Тут важнее во-первых.
врят ли за Вас кто-то будет проводить эту аналитическую работу |
|||
|
|
|
|
именно поэтому я и написал
|
|||
|
|
|
имхо тогда смысла мало латать - в старых движках очень много дыр а если сайт ломанули, там скорее всего бэкдоров везде и всюду понапихали |
|||
|
|
|
|
Антон Иванов, обновления движка актуальны?
это чего такое? /bitrix/admin/on.php похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ... в fileman_file_upload.php первая же строчка $USER->CanDoOperation('fileman_upload_files') т.е. при обращени юзер был авторизован в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php"); require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php"); а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел |
|
|
|
|
|
Поддержка по экзаменам, проверка "Имя"
|
|
|
|
|
проверка "Цитирования" |
|||
|
|
|
такое лучше в саппорте спросить |
|||
|
|
|
бесплатно? если да, то вообще супер-вариант! ![]() |
|||
|
|
|
вот я тут сильно сомневаюсь, что закрыты - я когда "наискосок" посмотрел "bitrix attack" (90% конечно не понял, уж больно всё на "заумном"), но понял одно - если внутри ядра не поправлено, то "достучаться" можно не только через явно указанные дыры и первое, что нужно сделать это актуализировать движек, потом всё в гит и вылавливать дыры в некоторых случаях (например в Вашем) наверное проще перетащить контент на свежеустановленный движек, потом гит и режим наблюдения, иначе можно задолбаться вычищать |
|||
|
|
|
это что-то новенькое
при файловом доступе авторизация вообще не проблема
100% ! может быть и хуже на сколько я помню Украинские хакеры после начала СВО сносили контент - как в БД так и в файлах |
|||||||
|
|
|