Алексей Вдовин (Все сообщения пользователя)

ммда уж, похоже у Вас с юмором совсем туго

Станислав Х, обновления актуальны?

чтобы было понимание подкачаются бэкдоры или нет я бы посоветовал паблик загнать в git и сделать снимок ядра средствами движка
ну и конечно же забэкапиться пока чисто

либо без гита - сделать снимок ядра и паблика

Антон АК, у Вас какая проблема?

Антон АК, тут ничего подозрительного.

эта команда для запуска в консоли на сервере в домашней директории сайта (операционная система linux семейства) как правило по ssh протоколу

если у вас веб сервер под Виндой найдите аналог - смысл поискать во всех файлах вхождение str_rot13

обычный IPv6

не факт, что ещё где-то бэкдор не притаился ... антивирус не всё находит

вручную поискать



хорошо находит бэкдоры "последней волны"

можно поискать base64_decode( и eval(  - но там много нормальных будет, анализировать долго

в кроне проверить, в агентах проверить, сменить signer_default_key



сменить пароли и как я выше написал ядро привести в порядок, слепок файлов ядра сделать, проект в гит залить (публичную часть)
при обновлении обновлять не только движек но и систему тоже (если виртуалка)

первый 100% бэкдор
а вторые штатные файлы, но возможно внутри иньекции - нужно по содержимому смотреть

можно запустить монитор качества и глянуть пункт "изменения в ядре" - привести всё в порядок поможет саппорт

дату изменения любую можно нарисовать

интересно ImunifyAV можно без панелек установить? на сервер с bitrix_env хотелось бы прикрутить

вроде можно
кто нить ставил отдельно?

всё что "на давно не обновлявшемся сайте" вообще можно не постить - это "решето"
а вот взлом сайтов с аспро, на сколько я понял, замечен на сайтах с актуальными обновлениях Битрикса

мне один такой попадался - обновления стоят, вроде всё просмотрел, а через пару дней index.php снова загажен, но там помимо аспро ещё и сам веб сервер самопал на убунте, поэтому пока на счёт Аспро не уверен

Точно, извиняюсь не увидел.
Тут я пас, я из Новосибирска.

Илья Замяткин, начните с того из какого Вы города, т.к. в Вашем случае работать удалённо не получится

Илья Замяткин, уточните про хостинг сайта - это физический сервер?
расшифруйте "зайти физически на серв не удаётся" - с консоли не пускает под рутовым паролем?
какая ОС на сервере?

Лицензия на Битрикс актуальная? обновления стоят?

Макс Кучин,
это говорит о том, что у Вас не обновлённое ядро с уязвимым модулем vote
удалите папки
/bitrix/tools/vote/
/bitrix/modules/vote/

и главное - обновитесь

а в саппорт писали? может они не знают, что такой тип поля нужен

Виталий Панкратов, как его сменить?

нет, не мог

На последнем исследуемом пациенте те же симптомы плюс к тому /upload/ не закрыта, но с загрузкой файла сомневаюсь - это ручная работа, что врят ли.
Тут скорее всего робот + дыра в безопасности.

хм ... а сайт с такими же симптомами (процесс в памяти, изменение index.php .htaccess) который мне не так и не удалось вылечить тоже с Аспро модулем

Дмитрий тут ветка не совсем по Вашей тематике - тут вирусы ищем, дыры затыкаем ...
зачем Вы репостите сюда своё обращение в ТП?

Если хотите помощи на форуме сделайте отдельную ветку, сформулируйте вопрос

Это всё полумеры, нужно найти источник проблемы.

Мне тут обратились за помощью - vds (правда самопал на ubuntu - тут не понравилось, на bitrix_env настройки лучше в плане безопасности), сайт на сервере один.
Всё что знал посмотрел, и лицензия актива и обновления актуальны, по логам ничего не нашел - ... Через сутки взломали
Процесс в памяти, восстанавливает инъекцию в index.php

Уже тоже думаю эти функции запретить, т.к. других идей пока нет

Дмитрий Волинский,
Раз уж обратились в ТП я бы Вам рекомендовал запустить монитор качества, и посмотреть пункт "Ядро проекта модифицировалось".
И сразу попросите их привести в соответствие всё файлы по списку.
Делают это они достаточно быстро, и Вам будет спокойнее.
После чего сразу сделайте слепок инструментом Контроль целостности, чтобы в случае необходимости быстро найти изменённые файлы.

Рано вы такой вывод сделали.
Процесс уже в памяти сидит и восстанавливает инъекцию.
Вот если удалить все файлы и ребутнуть веб сервер (на шаред хостинге можно версию php туда сюда перекинуть, думаю эффект будет - или ТП попросить) тогда да, можно такой вывод сделать.