Действительно, снова что-то пролезло в файлы bitrix/js/main/core/core.js и bitrix/modules/main/include/prolog.php. Открытие сторонних сайтов в новом окне при входе на сайт из поисковиков (скрипт грузится с ). После прошлой атаки обновили ядро сайта (сейчас стоит 22.100.0) и php (до 7.4).
После чтения ветки стало понятно в чём дело: файл bitrix/components/bitrix/main.file.input/main.php. Забавно, судя по дате изменения, он присутствовал аж с 2019...
Алексей Вдовин написал: Ещё вариант по ядру - думаю в саппорте можно запросить файловый архив актуальной версии ядра, у себя все снести и накатить так, сказать с эталона - тогда вариант бэкдора в файлах ядра точно уйдёт в минус.
Сам проект в гите должен быть (для быстрого отлова изменений), плюс можно и ядро в гит запихать (пока не уладится с вируснёй).
PS Интересно, на сколько битрикс наварился за последние дни, в плане покупки продлений лицензий?)
о повод для конспирологии, эт я люблю
ну если дыра в модуле есть, это как минимум известно и прогеру этого модуля. Вы митингуете против теорий заговора, но что скажете про подобную историю с обиженным прогером под модикс в 2018 - он просто ушел из команды и не закрыл дыру, компонент gallery, причем этот компонент в отличие от других компонентов несколько лет не обновлялся, т.е. по мнению разраба там было все отлично, но нет... через какое-то время дыра была использована в массовом масштабе. Решение по лечению было такое - УДАЛИТЬ этот компонент и далее обновить движок. А термин "теория заговора" был придуман и введен в оборот именно теми, кто не желал каких-то раскопок и расследований, заставляя высмеивать всех сомневающихся, как видим, в 21 веке этот термин становится весьма опасен, будучи употреблен...
Бэкдор. Как он там оказался не совсем понятно, много пишут про уязвимость модуля vote и то, что можно загрузить и исполнить произвольный код. То есть через модуль можно, но есть этот бэкдор (дополнительный), которым можно исполнить любой код (вплоть до rm -rf /, хотя веб-сервер не должен быть от root и будет удалено только то, на что хватит прав, но все равно очень не приятно. Хотя неприятнее терять контроль и искать трояны. Спасибо, Битрикс, некогда в сравнении с WP описываемый как безопасный.
Удаляя модуль полностью (перенося в рандомную папку) никак не помогает уйти от редиректов. В агентах пусто. Никаких стремных файлов. Возможности здесь и сейчас обновиться нет, так как никому не хочется пробовать, а потом переписывать legacy, который сломается. Все работает на PHP 7.1, а тут просят VM 7.5+ PHP 7.4+. Кому оно надо все это обновлять. Хотя уязвимое legacy Битрикса демонстрирует феерические масштабы.
Вероятно, что это не имеет большого смысла, так как уязвимость в старом ядре остается, но можно сделать хоть что-то перед полным обновлением окружения и ядра.
Возможно, что временную папку для загрузок можно вынести на уровень выше, чем работает веб-сервер и тогда он не исполнится. Хотя изначальный бэкдор мне не известен по своей сути (CVE-2022-27228)
