написал: У кого-нибудь есть этот файл по указанному в рекомендациях пути? У кого какие мысли по этому файлу и по этим рекомендациям?
фигня какая то - это не уязвимость движка, а уже использование залитого бэкдора лучше бы написали как этот spread.php в /tools/ появляется - вот это наверное уже из уязвимостей Битры было бы
конечно не редиректит раз не доходит по 443 протоколу до хостера у поисковиков обязательно сменить зеркало на www
а что в это "Техническое Средство Противодействию Угрозам" нельзя как-то написать, что всё уже норм и пора снимать ограничение? по идее куда то ведь можно отписать, кто за эту хрень вообще отвечает?
bitrix.xscan в маркетплейсе есть - "Поиск троянов" хотя ... там вроде без активной лицензии не даст поставить (на любом другом с активной лицензией можно поставить и перенести)
написал: Я предполагаю, что блокировка была автоматической со стороны РКН
а что предполагать? есть онлайн сервис для проверки наличия сайтов в блэк листах РКН для проверки пропишите в hosts домен и IP - тогда точно поймёте хостер это блокирует или нет
Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии
движек нужно обновлять регулярно, если у вас он до этой недели жил без обновлений - это было время "открытых дверей" и скорее всего уже напихали бэкдоров "по самое не хочу" и теперь обновление уже никак не поможет - только чистка в ручном режиме
и судя по тому, что взломали далеко не все сайты на движке Битрикс (тьфу тьфу тьфу у моих клиентов полёт нормальный) причина не в какой то новой уявзимости движка
написал: Запрос в Яндексе выдает ссылку на сайт C.A.S@shell (polivalka.su) где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы.
написал: Да, уже почитал статьи на эту тему. Можно сказать временно уберегли сайт, но думаю этот терминал могут по новой залить, раз аналогичный код был залит и мне на днях.
всё верно - ищите уязвимости с помощью которых залили шел попробуйте начать с даты создания файла, посмотрите по этому времени логи - POST запросы прогоните антивирусом, поищите по признакам (выше в ветке выкладывали) если движек Битрикс - обновите до актуальной версии так же не помешает система контроля версий и какой нибудь автоматический контроль изменений в файлах
Ps я ещё в 16м году для своих нужд сваял скрипт контроля файловых изменений на сервере - до сих пор работает (по крону ночью - утром отчёт на мыло) смотрю в свете последних событий скрипт довольно актуален
написал: он появился у меня недавно, так понимаю в период аттаки на bitrix. Запрос в Яндексе выдает ссылку на сайт C.A.S@shell (polivalka.su) где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы. Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?
Вы я смотрю вообще отчаянный человек я пока с помощью Вашего же шелла его у Вас переименовал, от греха подальше (в какой файл тут писать не буду, а то не все такие добрые как я)
это небольшая демонстрация того, что можно сделать
написал: в поиске C.A.S@shell выдает запрос, по сути открывает вот такое терминальное окно на базе команд linux
не понял - что это значит "в поиске C.A.S@shell выдает запрос" ? т.е. любой человек может провалиться к Вам в такое терминальное окно и выполнить шелл команду?
временно убираем /bitrix/modules/security/ из /modules/
заходим в админку, перенастраиваем домен (в главном модуле и настройках сайтов)
в мускуле скидывааем опцию UPD ATE `b_option` SE T `VALUE` = 'planetaexcel.loc' WHERE `b_option`.`MODULE_ID` = 'security' AND `b_option`.`NAME` = 'restriction_hosts_hosts';
либо в php командной строке use Bitrix\Main\Config\Option; Option::set("security", "restriction_hosts_hosts", "НОВЫЙ ДОМЕН");