Цитата |
---|
написал: Цитата |
---|
написал: Были взломаны 2 сайта (основной и сайт для разработки) , оба на разных виртуальных машинах под Bitrix VM 7, сайт под разработку был под htpasswd.
Основной был восставлен из вчерашнего бекапа, обновлён до актуальной версии, как и сам сервер, второй оставлю для поисков проблемы, такое ощущение, что было что-то залито ранее.
Сайт другого клиента не был тронут, обновления были установлены 4 апреля 2022 года, работает не на Bitrix VM. |
Маловероятно, мы на этих выходных получили 2 сайта и полностью проверяли, один обновлённый сайт не был тронут, на втором без обновлений было абсолютно чисто, взломали сегодня утром. |
Смотрю на тестовом папку tmp как написал Анатолий Ерофеев, видимо сначала залили (по логам с IP 185.180.199.209), потом запустили c IP 128.14.133.58.
По поводу какие изменения сделали:
- удалили файл .settings.php,
- заменили главную страницу,
- потерли инфоблоки,
- изменили содержимое агента с ID = 1,
- изменили пароли и хеш пароли на такое содержимое как на третьем скрине.