| Цитата |
|---|
| написал: Получают возможно выполнить свой php код. |
|
Разработчикам |
Форум
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
аналог для nginx из поста выше с описанием комплекса мер по предотвращению атак.
location ~* ^/bitrix/tools/(html_editor_action|mail_entry|upload)\.php$ { deny all; } location ~* ^/bitrix/tools/vote/uf\.php$ { deny all; } location ~* ^/bitrix/components/bitrix/sender\.mail\.editor/ajax\.php$ { deny all; } location ~* ^/bitrix/admin/site_checker\.php$ { deny all; } Можно скомпоновать с постом , проверяя еще типа запроса. |
|
|
|
|
например /bitrix/tools/putin_***lo.php в самом простом случае в файле вызывается функция eval в которую передаются данные из $_REQUST переменно. При обращении к этому файлу в _REQUST передается код который нужно выполнить. получается заражение сайта в несколько шагов: 1. используется уязвимость что бы залить файл с возможностью его выполнить. 2. в загруженный файл передаются команды на выполнение. |
|||||
|
|
|
|
|||
|
|
|
|
|||||||
|
|
|
|
|||||
|
|
|
|
|||||||
|
|
|
<Files ~ "^(site_checker)\.php$> Order Deny,Allow deny from all # Здесь указать разрешенный адрес или адрес сетки с маской Allow from XX.XXX.0.0/16 </Files> |
|||
|
|
|
|
Коллеги, у кого появился файл /home/bitrix/www/bitrix/admin/sale_discount_heirlooms.php причем с выполнением агента?
Хотя на другом ломаном сайте (сайт разработки полный клон основного, пока оставил не тронутым после атаки) на этом агенте выполнялся /home/bitrix/www/bitrix/admin/posting_brownier.php С содержимым:
Раньше на этом агенте выполнялось
И судя по дате агенты появились 27 июня. Основной сайт восстанавливал из вечернего бекапа от 27 июня. |
|||||||
|
|
|
||||||
