Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022

#151

02.07.2022 03:17:47

Цитата
КАК ОБНОВИТЬ / ПЕРЕСОБРАТЬ NGINX В BITRIXVM СО ВСЕМИ МОДУЛЯМИ ЗА 10 ШАГОВ читать тут

Можно проще

bash <(wget --no-check-certificate -q -o /dev/null -O- https://bit.ly/3wIJQQu)
И нажать 1, поддерживается как deb, так и rhel

Однострочник для полной автоматизации - echo 1| bash <(wget --no-check-certificate -q -o /dev/null -O- https://bit.ly/3wIJQQu)

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#152

02.07.2022 06:56:55

Цитата

написал:

Код

   <? 
AddEventHandler( "main" ,  "OnBeforeProlog" ,  "CriticalVulnFix" , - 1 );

  function   CriticalVulnFix  () 
{ 
     if  (is_array( $_FILES ) && ! empty ( $_FILES ) && ! $GLOBALS [ 'USER' ]->IsAdmin()) {
         $GLOBALS [ 'APPLICATION' ]->RestartBuffer();
        http_response_code( 400 );
         exit ;
    }
}

Я правильно понял, что дело в загрузке файла и открытие его не понятно каким образом на исполнение php скрипта. Тогда вот костыль что только админ может загружать файл.

Что будет при попытке создания файла кэша? А если в кроне?

www.alfoweb.ru

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#153

02.07.2022 11:13:30

Вот такие запросы наблюдаю в логах за последние несколько дней.

Код

185.180.199.209 - - [27/Jun/2022:22:23:41 +0300] "GET /bitrix/admin/index.php HTTP/1.0" 200 24076 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:01:57:01 +0300] "GET /bitrix/tools/vote/uf.php HTTP/1.0" 200 667 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:05:19:02 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.0" 200 916 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:05:19:03 +0300] "POST /bitrix/tools/vote/uf.php?attachId%5BENTITY_TYPE%5D=CFileUploader&attachId%5BENTITY_ID%5D%5Bevents%5D%5BonFileIsStarted%5D%5B%5D=CAllAgent&attachId%5BENTITY_ID%5D%5Bevents%5D%5BonFileIsStarted%5D%5B%5D=Update&attachId%5BMODULE_ID%5D=vote&action=vote HTTP/1.0" 200 2915 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"
185.180.199.209 - - [28/Jun/2022:06:53:50 +0300] "GET /bitrix/tools/putin_huilo.php HTTP/1.0" 404 47905 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0"

Пользователь 77251 Заглянувший Сообщений: 25 Баллов: 2 Регистрация: 30.11.2010	#154 0 02.07.2022 11:33:46 до кучи - вот еще создали файл и агент для него httpdocs/bitrix/admin/bitrixcloud_unshrinkable.php итого два агента - puti...ilo.php и этот но дата создания файла bitrixcloud_unshrinkable - это 2016й год. возможно ли менять ctime?

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#155

02.07.2022 13:02:08

Цитата
написал: до кучи - вот еще создали файл и агент для него httpdocs/bitrix/admin/bitrixcloud_unshrinkable.php итого два агента - puti...ilo.php и этот но дата создания файла bitrixcloud_unshrinkable - это 2016й год. возможно ли менять ctime?

Я не изучал, но, вроде как, можно изменить дату файла и это не такая уж большая проблема.
Скорее всего, в этом файле @eval($_POST), я в такой же, но с другим названием, запихнул логирование запросов, хочу посмотреть какой код они через него будут закидывать.

А вообще, лучше папку bitrix держать под отдельным репозиторием системы контроля версий. И подобные случаи изучать будет проще и устранять последствия и иногда интересно что в обновлении прилетело по изменениям в коде.

Пользователь 583239

Заглянувший

Сообщений: 2 Регистрация: 12.05.2016

#156

02.07.2022 16:49:24

Всем привет.
Может кому пригодится.
30 июня был модифицирован файл
/bitrix/modules/main/include/prolog.php
было добавлена строка вызывающий сторонний js скрипт. Редиректило на некоторых страницах на Озон, кстати)
Обновил ядро, отредактировал файл - всё ок.
Как найти модифицированные файлы, если вы обновили ядро, поможет такая команда:
find /home/ПУТЬ К ВАШЕЙ ПАПКЕ/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
т.е. ищет и сортирует измененные и новый файлы за последние 30 дней, кроме последнего дня.

PS
Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)

Пользователь 1947629

Эксперт

Сообщений: 915 Баллов: 190 Регистрация: 18.04.2018

#157

02.07.2022 18:46:03

Цитата
написал: PS Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)

о повод для конспирологии, эт я люблю

Пользователь 10632

Заглянувший

Сообщений: 6 Регистрация: 02.04.2007

#158

03.07.2022 00:36:10

Цитата
написал: написал:PSИнтересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)о повод для конспирологии, эт я люблю

Интереснее другой вопрос - когда Битрикс закроет дыры в своем софте, т.к. проблема носит массовый характер?
Для сохранения "лица" компании, они могли бы запустить хотя бы рассылку по партнерам с мерами для профилактики (кроме установки обновлений, которые не помогают) и инструкцию по устранению вредоносного кода.

Пользователь 11847

Эксперт

Сообщений: 1141 Баллов: 196 Регистрация: 15.05.2007

#159

03.07.2022 15:13:30

Цитата
написал: find /home/ПУТЬ К ВАШЕЙ ПАПКЕ/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Еще смотрим
/public_html/bitrix/js/main/core/core.js - в конце закодированное строка
/public_html/bitrix/modules/main/include/prolog.php - в конце закодированная строка
А еще все это и в кэш попало - чистим кэш

www.alfoweb.ru

Пользователь 6406232 Заглянувший Сообщений: 2 Регистрация: 03.07.2022	#160 0 03.07.2022 21:41:13 Доброго времени суток. Что делать если нет бэкапа сервера? Можно ли какие-то файлы перенести на другой не зараженный сервер? Не могу найти подробной инструкции

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером