Всех приветствую! У моих знакомых так же был взломан сайт, все по предыдущим пунктам. Что лично я обнаружил:
Во-первых, все пароли были поменяны на незашифрованное слово "putin":
Способ решения проблемы:
1. Заходим в базу данных, получаем список пользователей по запросу:
2. Я могу вам предложить свой пароль, который сгенерировал рандомно из головы (временно), собственно - ставим его:
Пункт два помогает вам установить пароль на: "Vadimka123"
Да, вы войдете, но скорее всего вас ждет картина с удаленными ИБ.
Исправление остальных проблем:
1. Для начала - удалите ваши "Агенты", который делают эти деяния:
Первый "Агент" выглядит так:
Удаляем его.
Второй "Агент" выглядит так:
Удаляем его так же.
2. Поиск измененных файлов:
Если вы используете bitrix в одной директории с остальным сайтом, выполните следующую команду:
Сама команда:
Таким образом мы обнаружим последние модифицированные файлы. Если же многосайтовый режим, через шаринг bitrix - в директории bitrix советую выполнить так же эту команду.
3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:
В файл /bitrix/tools/vote/uf.php перед required (а ещё лучше - в компонент):
В файл /bitrix/tools/html_editor_action.php перед required (а ещё лучше - в компонент):
В логах NGINX обнаружено следующее:
(остальное сейчас дополню)
Во-первых, все пароли были поменяны на незашифрованное слово "putin":
Скрытый текст |
---|
Способ решения проблемы:
1. Заходим в базу данных, получаем список пользователей по запросу:
Скрытый текст |
---|
SEL ECT id, LOGIN FR OM `b_user`; |
2. Я могу вам предложить свой пароль, который сгенерировал рандомно из головы (временно), собственно - ставим его:
Скрытый текст |
---|
UPD ATE `b_user` se t PASSWORD = "$6$G4snOFwkxTQIpHS5$0K8JnFNBwVaGn4t5vI5zboim374km5ol6yYUDSC |
Пункт два помогает вам установить пароль на: "Vadimka123"
Да, вы войдете, но скорее всего вас ждет картина с удаленными ИБ.
Исправление остальных проблем:
1. Для начала - удалите ваши "Агенты", который делают эти деяния:
Первый "Агент" выглядит так:
Скрытый текст |
---|
Удаляем его.
Второй "Агент" выглядит так:
Скрытый текст |
---|
Удаляем его так же.
2. Поиск измененных файлов:
Если вы используете bitrix в одной директории с остальным сайтом, выполните следующую команду:
Скрытый текст |
---|
Сама команда:
Код |
---|
find . -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r |
Таким образом мы обнаружим последние модифицированные файлы. Если же многосайтовый режим, через шаринг bitrix - в директории bitrix советую выполнить так же эту команду.
3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:
В файл /bitrix/tools/vote/uf.php перед required (а ещё лучше - в компонент):
Код |
---|
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); } |
Код |
---|
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); } |
В логах NGINX обнаружено следующее:
Скрытый текст |
---|
(остальное сейчас дополню)