1С-Битрикс Разработчикам

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#341

20.02.2023 16:14:09

Цитата
написал: будем логи изучать, через что залезли

кроме htaccess (которые появились во всех папках по экземпляру) в /bitrix/admin/ периодически создаются рандомные php с таким фрагментом бекдора

Цитата
....if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec").....

Решения Плюс

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#342 0 20.02.2023 16:22:03 как ломанули нашел, но к сожалению заказчик уже сам этот файл почистил очень жаль ... так не найду откуда изначально дыра открыта Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#343

20.02.2023 16:26:04

Цитата
написал: как ломанули нашел, но к сожалению заказчик уже сам этот файл почистил

можно в личку ? я пока не нашел)

Решения Плюс

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#344 0 20.02.2023 16:32:31 был POST /bitrix/admin/inputs.php но вот самого inputs.php уже нет Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#345

21.02.2023 00:21:49

Цитата
написал: смотреть даты изменения - это только если взломщик не позаботился о том, чтобы их обратно изменить врят ли на это стоит рассчитывать

Я через winscp смотрел.

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#346

21.02.2023 00:56:29

Появилась другая проблема. Теперь файлы php отдают все 403 ответ.

htaccess в корне был заменен вот на это.

Код

<FilesMatch '.(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Я вернул на старый htaccess. Но не помогло. Создал файл в корне test.php просто с текстом echo 'test' попытался открыть его по адресу site.ru/test.php тот же ответ 403. Такое впечатление, что где-то в сервере в настройках php еще что-то меняли. У меня сейчас к ним доступа нет. Еще создался опять бекдор inputs.php, только теперь в корне (до этого в bitrix/admin/ создавался).

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#347

21.02.2023 03:31:16

Врят ли в настройках, там рутовый доступ нужен, сломали скорее всего через старое ядро Битрикса.
Обновления в Битриксе были установлены?

Покажи .htaccess с корня

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725

Постоянный посетитель

Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011

#348

21.02.2023 04:24:15

В общем ломанули как написал выше red_eye через vote, в нашем случае создавались постоянно бекдоры в /bitrix/admin/ с именами af640d8ff97f.php c5d0ffc28f12.php d3bcae31ffdb.php , по причине модификации модуля main появились 2 пустых строки в обмене с 1с, и обмен штатный отваливался.

Решения Плюс

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#349

21.02.2023 04:30:16

У последнего клиента vote отсутствовал, так что хз как ломанули

Причем лом какой то странный, не пойму зачем htaccess так портить
И судя по его содержимому там и на wordpress какой то расчет...
Уже начинаю сомневаться, что это через ядро Битрикса взломали.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 89725 Постоянный посетитель Сообщений: 63 Баллов: 11 Регистрация: 29.04.2011	#350 0 21.02.2023 04:43:29 у нашего сначала ломанули, а атака с распространением htaccess спустя неделю прошла уже через бекдоры Решения Плюс

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером