Сергей Журавлев (Все сообщения пользователя)

Битрикс не говорил когда ждать результата?

Хотелось бы от администрации какие-то пояснения получить, а не самостоятельно гадать.

отсюда

Не случится ли каких-нибудь перебоев?

Неприятная новость:
Адреса некоторых картинок снова стали изменяться после выгрузки.

Закономерность пока выяснить не смог...
При полной выгрузке какие-то адреса остаются неизменными, а какие-то меняются.

Роман Валевский, а когда Вы сами по этому адресу заходите, в "журнале событий" появляется запись?
У меня не появляется.

попробуйте сами по этому адресу перейти - у меня просто главная открывается
а у Вас что происходит?

У меня вот такой постоянно пытается зарегистрироваться: bitrixsupport_1ccf9c@mail.ru

Новый айпишник пошёл: 94.228.169.107

Боюсь что-нибудь нужное удалить

info@dinastia.gold, Добавил на той неделе этих в стоп-лист, сегодня попёрли регистрации с 5.252.118.211

и, появился новый адрес регистрации:
/bitrix/wizards/bitrix/demo/public_files/ru/auth/?register=yes

вот тут ещё интересное решение: https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic152950/message72940­6/#message729406

В нашем случае видимо так:
------------------------------------------------------
Файл .htaccess в папке /auth запретит доступ к скриптам извне:
 < Files index.php >
Order Allow,Deny
Deny from all
Allow from 127.0.0.1
</ Files >
---------------------------------------

только я не понимаю, почему разрешён 127.0.0.1, а не IP сайта...

Александр У., а почему разрешается именно 127.0.0.1 ?
Или это для примера написано, а разрешать надо IP адрес своего домена?

P.S.
У меня не заработало.
Такое впечатление, что вообще доступ к закрываемому файлу пропадает.
и  127.0.0.1, и свой IP ставил, и IP хостинга

и мои оттуда

Евгений Жуков, если не сложно, посмотрите моё предложение чуть выше.

И, ещё, поскольку эта штука распространенная, м.б. Битрикс сам мог бы эту уязвимость устранить?

такая мысль:
Если в начале файла  /auth/index.php проверять наличие переменной $register если нет - продолжать без проверки рефферера
если есть - проверить рефферер, если указан текущий сайт - продолжать, если отсутствует или другой сайт - остановить выполнение программы

мне представляется, что у спаммеров рефферера не должно быть, а если реальный человек зашёл по прямой ссылке без рефферера, у него не должно быть переменной $register

что думаете?

Копилот Битрикса такой код написал:---------------
Конечно, я могу помочь с кодом на PHP. Вот пример кода, который проверяет наличие переменной $register и реферера:

```php
<?php
if (isset($register)) {
$referer = $_SERVER['HTTP_REFERER'];
$currentSite = $_SERVER['HTTP_HOST'];

if ($referer == $currentSite) {
// Продолжайте выполнение программы
} else {
// Остановите выполнение программы
exit;
}
} else {
// Продолжайте выполнение программы без проверки реферера
}
?>
```

В этом примере мы используем функцию `isset()` для проверки наличия переменной $register. Затем мы получаем значение реферера с помощью `$_SERVER['HTTP_REFERER']` и текущего сайта с помощью `$_SERVER['HTTP_HOST']`. Если реферер совпадает с текущим сайтом, программа продолжает выполнение. В противном случае, выполнение программы останавливается с помощью функции `exit`. Если переменная $register не существует, программа продолжает выполнение без проверки реферера.

Пожалуйста, учтите, что проверка реферера может быть ненадежной, так как она может быть поддельной или отсутствовать в некоторых случаях.
------------------

Вроде похоже, но я не пробовал, боюсь что-нибудь другое испортить...



Спросил Копилота:-------------------------------
Добавление предложенного кода в начало файла /auth/index.php не должно негативно повлиять на другие функции сайта на Битрикс. Однако, чтобы быть на стороне безопасности, рекомендуется провести тестирование после внесения изменений, чтобы убедиться, что все функции сайта продолжают работать корректно.

Если у вас есть какие-либо настраиваемые модули, компоненты или расширения, которые могут быть связаны с процессом аутентификации или регистрации пользователей, рекомендуется также проверить их совместимость с внесенными изменениями.

В целом, добавление проверки реферера в указанном месте не должно вызывать проблем, но всегда рекомендуется быть осторожным при внесении изменений в код сайта и проводить тестирование после этого.

Если платно - озвучьте ценник и условия, если бесплатно - напишите прямо здесь

да, на каждую регистрацию уходит от нас письмо.
проверял, на существующие адреса письма доходят

Получается, что наш адрес массово рассылает спам...

Евгений Пажитнов, у меня такие же уроды.
Интересно, для чего они это делают

спасибо за оперативный ответ!

Выяснил, что меня злодейские боты регистрируются не через форму регистрации пользователей, а через /auth/?register=yes
Если я в .htaccess сделаю редирект на 404 ничего страшного не случится?

Подскажите пожалуйста, где посмотреть как это делается? (для пользователя уровня Контент-менеджер)
У нас аналогичная ситуация.

Получил ответ из поддержки Яндекса:

В том и дело, что Яндекс пытается индексировать страницы, с какими-то вообще несуществующими парамертами.
А синтаксис Clean-param: не позволяет запретить все параметры кроме указанных.
Нельзя написать
Clean-param: !PAGEN_1

У нас почта для домена  организована на Gmail, письма не доходят (хотя, раньше всё было нормально).
Но, если поставить адрес на mail.ru или ya.ru - доходят.

Похоже, в Gmail что-то переменилось.

Никита Козлов, как Вы вышли из ситуации?
У нас похожая проблема возникла.

вот тут пять лет назад народ с этим вопросом пытался разобраться, но похоже ничего не вышло

скрипт вот тут но надо иметь массив разрешенных переменных

а вот как этот массив создавать - непонятно

Вообще, можно поставить canonical без параметров, но Яндеск сначала индексирует страницы с параметрами, а потом, через некоторое время,выкидывает их из индекса
Это постоянное добавление и выкидывание - не очень хорошо, отвлекает поисковик от индексации нужных страниц.