Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Заглянувший

Сообщений: 6 Регистрация: 02.04.2007

#171

06.07.2022 12:52:00

Цитата
написал: То есть у ВАС есть варианты но все *фантазийные ...

Я не вендор, а разработчик, поэтому это НЕ моя обязанность проводить экстренные мероприятия / придумывать PR-рассылки / проводить аудиты безопасности продукта и т.д.

Однако, именно ко мне обращаются клиенты с вопросами "почему так произошло?" и "что сделать, чтобы не допустить повторного взлома сайта?".

Судя только по сообщениям в этой ветке - ломаются обновлённые сайты без кастомных модулей, т.е. "установка актуальных обновлений" НЕ решает проблему.

Где искать инструкцию (полную) по защите системы от выявленных багов? И почему, собственно, ее где-то вообще нужно искать? Может быть вендор позаботиться об этом?

Как об этом сообщить клиенту (обновления установили, но сайт все равно взломают...)?

На этом я закончу данную дискуссию, все кто работают с реальными заказчиками прекрасно меня поймут. Вопрос о смене продукта у меня уже решен.

Пользователь 609443

Эксперт

Сообщений: 363 Баллов: 76 Регистрация: 07.06.2016

#172

06.07.2022 14:10:28

Вроде бы нет подтвержденных взломов обновленных продуктов. Нас вообще стороной обошло, все клиенты обновлены.

Код
Вопрос о смене продукта у меня уже решен.

А есть продукты, которые не ломают? По моему опыту, битрикс довольно надежная в плане взлома, платформа.

Пользователь 14571

Эксперт

Сообщений: 795 Баллов: 169 Регистрация: 10.08.2007

#173

06.07.2022 14:33:27

У меня тоже взломали один сайт. Не знал, что это массовое явление.

мои проекты: https://blog.sokov.org/category/dhynedhdhudhnn/ | меня рекомендуют: https://blog.sokov.org/recommendations/ | обо мне: https://spb.hh.ru/resume/9f303161ff02e561e20039ed1f654846726333 | 1 час работы - 1400 руб.

Пользователь 496397

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 17.02.2016

#174

07.07.2022 07:06:39

Цитата
А есть продукты, которые не ломают? По моему опыту, битрикс довольно надежная в плане взлома, платформа.

Вопрос не в том ломают или нет, а в том, что люди платят деньги за поддержку, которой фактически, можно сказать и нет.

Пользователь 6410208

Заглянувший

Сообщений: 5 Регистрация: 05.07.2022

#175

07.07.2022 09:45:04

Цитата

написал:
Получается адекватного решения нет, кроме бэкапов. А можно ли как-то например те же файлы и товары вытащить из старого сервера? Стоял интернет-магазин.

Еще нашел какие-то файлы в папке backup с форматом enc, пытался ими восстановить через файл restore.php, но после выбора файлов возникает ошибка 500

Взлом уничтожил инфоблоки. У меня атаке подверглось три сайта. Только в одном сайте все ИБ удалены, а заказы, клиенты остались. У клиентов только пароли сменены включая админа. Поэтому без бэкапа никак не восстановить. Вирус мог и все базы грохнуть)) Парни мне очень хотелось бы понять как это произошло, но, к сожалению Битрикс утверждает только одно дыра устранена обновляйтесь. Но не все сайты можно обновить. Действительно, клиент уже заморочил вопросами как обезопасится. Увы. Если есть какая либо инфа я буду признателен. Пока что понял изза истории гит чтобы было изменено instanceof => is_a

Пользователь 6410208 Заглянувший Сообщений: 5 Регистрация: 05.07.2022	#176 0 07.07.2022 09:49:36 Со старого сервака можно воспользоваться экспортом ИБ, он восстановит структуру но естественно последних товаров не будет.

Пользователь 6420872 Заглянувший Сообщений: 10 Регистрация: 08.07.2022	#177 0 08.07.2022 11:29:43 почистил prolog и core.js, несколько дней нормально все было, сейчас опять в этих файлах ридирект на скрипт, никто не разобрался где дырка? модуль vote не стоит, подскажите, куда копать??

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#178

08.07.2022 11:46:12

Илья,
я так понимаю поиск бэкдоров ничего не нашел ...

тогда дырку надо самому искать
если повезёт - дату изменения файлов злоумышленник не изменит обратно, тогда можно по дате изменения в логах глянуть какой файл "дёрнули" и уже в нём поискать бэкдор
если не повезёт, то сложнее - писать анализатор изменившихся файлов и запускать его почаще (в принципе в Вашем случаем можно на эти два файла и "ловить", тогда можно почаще "дёргать" "ловилку")
как только изменение будет "поймано" - анализ логов за последний период запуска "ловилки"
в общем процесс довольно творческий ...

могу помочь в свободное от работы время, но сразу предупреждаю - я не меценат

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#179

08.07.2022 11:48:11

Цитата
Илья написал: почистил prolog и core.js, несколько дней нормально все было, сейчас опять в этих файлах ридирект на скрипт, никто не разобрался где дырка? модуль vote не стоит, подскажите, куда копать??

вообще судя по файлам - это не через vote, думаю это что то из более раннего

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 36781

Постоянный посетитель

Сообщений: 73 Баллов: 13 Регистрация: 01.02.2009

#180

08.07.2022 11:55:30

Цитата
написал: подскажите, куда копать??

Удалить весь сайт чтобы он гадость в интернете не распространял, так как сайт Вам не нужен.

Если бы сайт был Вам нужен, то :

1.

У Вас была бы действующая лицензия и установлены все последние обновления

2.

У Вас не была бы отключена "Проактивная защита" или перед сайтом стоял бы WAF (например ModSecurity прикрученный к apache или nginx)

3.

Сайт бы уже работал на php 7.4 если не на php 8

Клуб любителей хрюш

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером