Разработчикам

Денис (Все сообщения пользователя)

Взломаны сайты в честь дня конституции украины

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

29.05.2023 09:35:21

Цитата
написал: Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

После того как почистили от троянов и сделали бекап, лучше сайт в git поместить для трекинга изменений, чтобы сразу видеть где были изменения. И если есть изменения, высылать себе diff-ы с предыдущей версией. Пример скрипта для запуска из-под крона: https://gist.github.com/dynax60/98a8adbc9966b99409125da3a60d6234

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

26.05.2023 15:59:15

Цитата

написал:
Да. новая атака. Удаляют битрикс. Шаблон выносят в папку пользователя ( сама папка пустая как и содержимое ) ( на скриншоте таймвеб ). С битрикса остался только шаблон, самой системы нет. https://skr.sh/sK1uWdAQcFQ

Версия очень старая ( php 5.6 вроде на этом сайте вообще ) , на новых еще не приходили жалобы.

Рекомендую, у кого нет возможности, настроить хотя бы резервное копирование с хостинга/сервера.

Какая версия битрикса? У вас точно не outdated? Что показывает security_scanner при после сканирования (покажите вывод)?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

16.05.2023 08:42:08

Цитата

написал:

Цитата

написал:

Цитата
написал: это не мой shell и не мой сайт, но код такой же был на моем сайте. А поиск выдал быструю ссылку к этому терминалу на чужом сайте.

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

Да, уже почитал статьи на эту тему. Можно сказать временно уберегли сайт, но думаю этот терминал могут по новой залить, раз аналогичный код был залит и мне на днях.

Дмитрий,

У 1С Битрикс были выявлены уязвимости в более старых версиях, в т.ч. в нашумевшем модуле голосования vote:

https://nvd.nist.gov/vuln/detail/CVE-2022-27228
https://bdu.fstec.ru/vul/2022-01141
https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
https://safe-surf.ru/upload/ALRT/ALRT-20220712.1.pdf

Эта бала одна из критических уязвимостей за последнее время. Багу пофиксили уже давно, начиная с версии v21.0.100 от 2022-03-04. Историю изменений модуля vote можно посмотреть тут. Текущая версия v23.0.0. Кроме того, тогда многие рекомендовали помимо обновления 1С Битрикс обновить PHP до 7.4. На самом деле, разработчики сейчас советуют обновить до 8.1, даже выпустили пошаговую инструкцию по обновлению версии PHP - https://helpdesk.bitrix24.ru/open/17332020/

В 2022 г была еще одна уязвимость CVE-2022-43959, но для её эксплуатации надо иметь сконфигурированное сопряжение с AD/LDAP и иметь административные права в 1С Битрикс. Но и эту проблему уже устранили в модуле ldap в версии v23.100.0 от 2023-02-19. Историю изменений можно посмотреть тут.

В целом, все изменения 1С Битрикс публикуются тут: https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=ldap

Если смотреть текущие уязвимости, то свежих CVE пока на них нет, из чего можно сделать вывод, что пока все относительно тихо:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Bitrix

Обновите свой 1С Битрикс.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

27.04.2023 08:52:13

Цитата

написал:

Цитата
написал: Как создать правило iptables на данный список черных адресов, что бы тянул их сам от туда автоматически?

в rc.local или крон

wget --no-check-certificate " https://asn.ipinfo.app/api/text/list/AS16276 " -O - > /tmp/AS210644_AS16276.txt > /dev/null 2>&1 && wget --no-check-certificate " https://asn.ipinfo.app/api/text/list/AS210644 " -O - >> /tmp/AS210644_AS16276.txt > /dev/null 2>&1; while read -r line; do echo "Removing if exists - $line"; iptables -D INPUT -s $line -j DROP || ip6tables -D INPUT -s $line -j DROP; echo "Processing line - $line "; iptables -I INPUT -s $line -j DROP || ip6tables -I INPUT -s $line -j DROP; done < /tmp/AS210644_AS16276.txt > /dev/null 2>&1

Это всё, конечно, так, если это VPS

) Когда нет рутовых прав, увы, .htaccess скорее единственный вариант. Ну и потом, ясное дело, что это неэффективно, когда у вас нагруженный веб-сайт с большим rps

Но я думаю, в таких случаях сайт не работал бы на 1С Битрикс

А в целом, ваше решение гораздо лучше, конечно. Ещё, как вариант, с помощью route можно их в blackhole запихнуть, раз есть root-е права, если логирование отброшенных пакетов не нужно файрволом

Ну, а если у вас есть автономная система, и ваш сайт в её приделах, так на бордерах ещё проще заблочить по номеру AS

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

25.04.2023 09:16:14

Цитата

написал:

Цитата
написал: А какая у вас редакция с номером версии 1С Битрикс?

Редакция "Малый бизнес", по версии точно не скажу, но все модули и main обновлял до последней версии.

Цитата

написал:
С регистрацией как администраторов вроде разобрался, один из администраторов мог случайно изменить в главном модуле группу при регистрации. Буду следить, не изменится ли параметр снова. В логах на сервере ничего странного не нашел, только попытки ботов регистрироваться. Логирование POST запросов по методу из сообщения Виталия Силина поставил, логов пока нет. Сайт вроде работает стабильно, осталить только ошибки по БД и с sale.ajax.locations, но это к теме не относится. Всем спасибо за помощь. Если в логах увижу что-то странное - сообщу.

Как воркэраунд, я бы посоветовал ещё заблокировать через .htaccess AS210644 (AEZA GROUP LLC) и OVH (AS16276). Из этих сетей куча запросов идёт со сканами и попытками заражения. Конечно, это не решение, но снизит попытки взлома. См. правила для .htaccess тут:

https://pastebin.com/TbjTSn1r

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

24.04.2023 13:06:28

Цитата

написал:
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.

А какая у вас редакция с номером версии 1С Битрикс?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

12.04.2023 12:19:33

Цитата
написал: Денис, льют на обновлённый движек?

К сожалению, старый, мы сейчас оплачиваем продление лицензии. Будем обновлять.

Коллеги, а сайты с 1С Битрикс вы как-то версионируете? Скажем, чтобы посмотреть что изменилось (вами или без вашего участия:). Если да, подскажите, что нужно исключать, можете написать с полными путями (? (1С Битрикс: Управление сайтом). Пока я предполагаю, что нужно исключать:
bitrix/cache/
bitrix/managed_cache/

P.S. Отдельное спасибо тем, кто увидел в чём изначально проблема - я про LFI2RCE via PHP Filters.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

12.04.2023 11:53:46

Цитата

написал:

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

О, у меня тоже атаки с выданных ip от aeza

Мы тоже слали репорт в Aeza, т.к. из их сетей много этого паразитного трафика, но эти чуваки из Краснодара уверенно молчат

И даже фраза о том, что мы оставляем за собой право обратиться в правоохранительные органы не помогает

Пока временный запрет через .htaccess всех их сетей из AS210644, плюс сети из OVH AS16276.

Через деобзфукатор на unphp.net можно увидеть, что льют WSO_VERSION 2.5 и простенькие бекдоры.

Перейти

Управление сайтом 17.5.16 не работает с PHP7.1

Пользователь 1875791

Заглянувший

Сообщений: 9 Регистрация: 07.06.2018

07.06.2018 11:58:58

Мы используем PHP5.6 на Мастерхост
Редакция: 1С-Битрикс: Управление сайтом 17.5.16.

В обновлении продукта разработчики рекомендовали обновить до 7.1:
"С 30 июня 2019 года будет ограничена поддержка наших продуктов на PHP версии ниже 7.1."

Кнопка обновления заморожена. При попытке изменить PHP на версию 7.1 возникает ошибка сайта:

Код

[Error] 
Call to undefined function mysql_connect() (0)
/home/u357552/autoconnex.ru/www/bitrix/modules/main/classes/mysql/database_mysql.php:19
#0: CDatabase->ConnectInternal()
/home/u357552/autoconnex.ru/www/bitrix/modules/main/classes/general/database.php:215
#1: CAllDatabase->DoConnect()
/home/u357552/autoconnex.ru/www/bitrix/modules/main/classes/mysql/database.php:87
#2: CDatabaseMysql->Query(string)
/home/u357552/autoconnex.ru/www/bitrix/modules/main/classes/mysql/agent.php:75
#3: CAgent::ExecuteAgents(string)
/home/u357552/autoconnex.ru/www/bitrix/modules/main/classes/mysql/agent.php:40
#4: CAgent::CheckAgents()
/home/u357552/autoconnex.ru/www/bitrix/modules/main/include.php:263
#5: require_once(string)
/home/u357552/autoconnex.ru/www/bitrix/modules/main/include/prolog_before.php:14
#6: require_once(string)
/home/u357552/autoconnex.ru/www/bitrix/modules/main/include/prolog.php:10
#7: require_once(string)
/home/u357552/autoconnex.ru/www/bitrix/header.php:1
#8: require(string)
/home/u357552/autoconnex.ru/www/index.php:2

Как быть?

Перейти

Денис (Все сообщения пользователя)

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером