Цитата | ||
---|---|---|
написал:
|
31.03.2023 16:36:17
момента заражения и лечения сайта всё было хорошо примерно неделю, сейчас ImunifyAV выдал следующее:
|
|||||||||||||||
|
17.03.2023 19:12:02
У меня всё началось с этого я пролечил/удалил, обновил и CMS и версию PHP, теперь вирусов нет, я беспокоился что внутри сайта остались PHP коды, которые сами по себе не являются вредоносными и не сканируются как угроза, но могут подкачать опять бэкдоры, поэтому попросил ТП хостинга прогнать код, который вы выкладывали выше и выложил свой результат. |
|||
|
17.03.2023 18:57:45
Вот скрипты которые содержат str_rot13 #grep -rl str_rot13 bitrix/modules/main/lib/search/content.php bitrix/modules/main/classes/general/vuln_scanner.php bitrix/modules/bitrix.xscan/include.php bitrix/modules/bitrix.xscan/include_fork.php Вот результат команды # grep -r str_rot13 bitrix/modules/main/lib/search/content.php: return str_rot13($token); bitrix/modules/main/classes/general/vuln_scanner.php: 'str_rot13', bitrix/modules/bitrix.xscan/include.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $cryptors = ['rot13', 'str_rot13', 'base32_decode', 'base64_decode', 'gzinflate', 'unserialize', что с этим делать? |
|||
|
17.03.2023 11:20:17
|
|||||||
|
15.03.2023 17:56:07
Добрый день. Всё началось со взлома сайта и 4 зараженных файлов.
Купил лицензию битрикса, чтобы обновиться до самой новой версии. Попросил хостера залить бэкап месячной давности - проверил - вирусы и в той версии есть, решил не отступать в борьбе. Обновил через админ панель всё по-максимуму, обновил и получил сообщение что PHP 7.4.33 устарело. Включил в настройка хостинга PHP 8.1.16 и получил сообщение: [TypeError] call_user_func_array(): Argument #1 ($callback) must be a valid callback, non-static method CRedConnect::addRedConnectScript() cannot be called statically (0) ***/bitrix/modules/main/classes/general/module.php:480 #0: ExecuteModuleEventEx ***/bitrix/modules/main/include.php:163 #1: require_once(string) ***/bitrix/modules/main/include/prolog_before.php:14 #2: require_once(string) ***/bitrix/modules/main/include/prolog.php:10 #3: require_once(string) ***/bitrix/header.php:1 #4: require(string) ***/index.php:2 ----------поменял на версию PHP 8.0.28 получил вот это: [Error] Undefined constant "Bitrix\Main\Diag\ASSERT_QUIET_EVAL" (0) ***/bitrix/modules/main/lib/diag/exceptionhandler.php:244 #0: Bitrix\Main\Application->initializeExceptionHandler ***/bitrix/modules/main/lib/application.php:94 #1: Bitrix\Main\Application->initializeBasicKernel ***/bitrix/modules/main/start.php:173 #2: require_once(string) ***/bitrix/modules/main/include.php:10 #3: require_once(string) ***/bitrix/modules/main/include/prolog_before.php:14 #4: require_once(string) ***/bitrix/modules/main/include/prolog.php:10 #5: require_once(string) ***/bitrix/header.php:1 #6: require(string) ***/index.php:2 как побороть вирус с минимальными потерями? использовать старый PHP 7.4.33, а вирус попытаться удалить вручную, затем поменять логины пароля от БД, FTP, админки и прочего? Или пытаться заставить работать на более свежем PHP? |
|
|
15.03.2023 11:02:19
|
|||
|