Цитата | ||
---|---|---|
написал:
|
1 и 4 файлы удалить. 2 и 3 править. Также еще поправить уязвимые файлы или обновиться. Иначе ситуация повторится.
11.03.2023 14:41:38
2. В html_editor_action.php в начале прописать
|
|||||
|
05.03.2023 14:30:07
Внимательно перечитал всю тему. Большое спасибо авторам постов, вся информация о том как ломают и что делать здесь есть. Сведу все еще раз для таких как я - впервые увидевших 1С Битрикс. Сейчас есть 2 основные уязвимости для необновленных Битриксов. Это vote и html_editor_action. Пока не обновитесь, удалите найденные бэкдоры ( spread.php, bx_root.php, агенты и т.д. ) и поставьте заглушки в файлы:
/bitrix/tools/html_editor_action.php /bitrix/tools/vote/uf.php Приводит ли к взлому найденная мной последовательность в логах php://filter/convert.iconv.UTF8.CSISO2022KR выясню позже. Может это действительно был какой-то запрос не для Битрикса. |
|
|
04.03.2023 14:23:19
|
|||||
|
03.03.2023 17:53:18
|
|||||
|
03.03.2023 15:48:11
Разбор того как работает взлом через POST к главной странице.
Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это:
Далее, атакующий в любой удобный момент времени посылает POST запрос примерно следующего содержимого:
и чаще всего это будет file_put_contents( virus_name, virus_body ) В логах веб-сервера это будет выглядеть как "GET / HTTP/1.1" 200 3557 "-" "" "POST / HTTP/1.1" 200 123 "-" "" "GET /5b186f810c33.php HTTP/1.1" 200 3189 "" "" Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") Но это все следствия! Как и множество других "страшнозакодированных" скриптов и .htaccess'ов которые здесь постили. Причина, в моем случае точно, в другом. Вот с чего все начиналось:
Весь этот запрос ( он у меня есть ) путем манипуляций кодировок превращается в следующий код:
Ключевое слово для поиска в логах CSISO2022KR - это обозначение корейской кодировки, без нее ничего не работает. Почему так - сказано в статье Как лечить? Пока поставить такую заглушку в /products/index.php if($_SERVER['REQUEST_METHOD']=='POST') die(); Или глобально Искать где находиться уязвимый код include($_POST) буду дальше. Все полные логи и коды запросов имеются, могу выслать желающим |
|||||||||||||||
|