первый взлом был осуществлен через vote?
|
Разработчикам |
Форум
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
ну да, vote надо физически убирать иначе толку нет
|
|
|
|
|
|
а вообще нужно обновляться до актуальной версии
все обратившиеся за помощью клиенты сидели на не обновлённом ядре + проект в git залить тут придётся заливать вместе с ./bitrix/ т.к. туда бэкдоры и селятся, хотя его обычно исключают далее # git status - и все изменения как на ладони и в случае взлома откатиться одной командой, типа # git reset --hard HEAD |
|
|
|
|
|
|||
|
|
|
|
ага, взломали сайт без всяких модулей голосования, с обновлениями на Старте. Битрикс, похоже, положил хрен на CMS и занялся только Б24, таких глобальных взломов всех подряд сайтов раньше не было
|
|
|
|
|
а вот это уже очень странно и волнительно! какой хостинг? причину взлома нашли? |
|||
|
|
|
|
|||||
|
|
|
|
Есть ли у кого-то, кроме меня, проблема с тем, что в папку /bitrix/admin/ пишутся файлы из набора символов в названии и какой-то код в index.php в той же папке? Из описанного ранее другими участниками, сделал все, что нашел. /bitrix/admin/inputs.php отсутствует, потому не могу понять, откуда ноги растут. Ощущение, будто по крону переписывается (хотя ни в кроне, ни в агентах нет ничего подозрительного), либо, когда на сайт заходишь. post запросов подозрительных тоже в логах нет. Еще, кстати, одной из побочек было удаление файлов include.php со всего сайта, благо есть гит и можно было все восстановить (папка bitrix, правда, не в гите, потому там руками пришлось).
Так вот, пока не обнаружил, каким макаром в папку /bitrix/admin/ пишутся файлы и перезаписывается индексный файл. Если кто нашел - поделитесь плз. Сам индексный файл пока просто костыльнул, поставив ему владельца рута и права на чтение |
|
|
|
|
|
попробуй по времени создания/модификации файлов которые создаются в /bitrix/admin/ в логах посмотреть - скорее всего POST запрос будет
других методов не знаю  если кто знает - поделитесь плиз |
||||
|
|
|
|||
