| Цитата |
|---|
| написал: Отлично. Рады пополнению! Приглашаем тебя на форум вордпресса, у нас много тем для обсуждения. Недавно вышло обновление 6.1.1 с исправлением уязвимостей и 50 ошибок, есть что обсудить. |
|
Разработчикам |
Форум
Взломаны сайты в честь дня конституции украины
|
|||
|
|
|
|
Да, хотел бы прояснить одну ситуацию: дата изменения файла. Говорите, что файл main.php и прочие были модифицированы последний раз очень давно. Если бы не одно "но". Из PHP дата изменения файла меняется через команду touch(). Эта команда меняет время модификации файла, так называемый mtime. Но она не меняет время изменения статуса файла, т.е. время изменения свойств и метаданных файла, т.е. ctime. В консоли линукса нужно запустить команду stat имя_файла, т.е. например, чтобы посмотреть ctime для файла /bitrix/components/bitrix/main.file.input/main.php, вводим:
В итоге мы получим такую картину:
Это подтвердилось в ситуации, когда я проверял другой файл. 26.12.2022 года была сделана резервная копия сайта и развернута на компе, 27.12.2022 в проверяемом файле появились изменения, но дата изменения этого файла стояла вообще апрелем 2022. На компе же изменений в этом файле не оказалось. И только командой stat смог узнать, что на самом деле файл был изменен 27.12.2022. Так что те, у кого файл датирован то 2019 годом, то еще каким-то, проверьте строку "Change" через команду stat (если, конечно, сами этот файл не трогали). |
|||||||
|
|
|
|
Александр Оносов, спасибо, коллега, что подробно разъяснил этот момент начинающим программистам - мне было лень это писать) Добавлю, что поиск изменённых файлов надо делать с помощью флага ctime, а не mtime:
Перед НГ преступники взломали один интернет-магазин, используя уязвимость bitrix/tools/html_editor_action.php. Пришлось разбираться с этим несколько часов. Если бы директория хранения временных файлов была вынесена за пределы сайта, то у преступника ничего не получилось бы.
Создание и поддержка сайтов:
|
|||
|
|
|
почему Вы так решили? на сколько я понимаю там несколько другой механизм задействован - т.е. /upload/tmp/ это не = директория хранения временных файлов |
|||
|
|
|
|
На это указывает лог залития на сайт бэкдора в виде файла spread.php по адресу bitrix/tools/spread.php:
Создание и поддержка сайтов:
|
|||
|
|
|
|
вот я про это и говорю, на сколько я понимаю /upload/tmp/ не есть директория для временного хранения файлов в понятиях PHP
но используется Битриксом как директория для временного хранения файлов (но уже на каком то своём уровне) сомневаюсь, что её можно вытащить за пределы сайта хотя могу ошибаться ... |
|
|
|
|
|
Евгений Донич, а у пользователя стояли последние обновления движка?
вроде уязвимость в html_editor_action.php уже давно прикрыли |
|
|
|
|
|
коллеги, кто нибудь в курсе как зараза пролезает которая меняет
/bitrix/modules/main/bx_root.php вот такой ужас там обнаружил кто-то как у себя дома "хозяйничает" причём даже закоментированный код оставили зачем то у клиента денег на обновление движка до актуальной версии нет  а дыру заделать очень просил |
|
|
|
|
|
Спасибо всем большое за оперативность. Помогло!
|
||||
|
|
|
|||
