1С-Битрикс Разработчикам

Пользователь 61272 Посетитель Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011	#41 0 28.06.2022 15:50:46 Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Пользователь 104919

Заглянувший

Сообщений: 10 Регистрация: 14.03.2012

#42

28.06.2022 15:52:23

Цитата
написал: Как лечил1) Для /bitrix/tools/vote/uf.php добавил die2) Для /bitrix/tools/html_editor_action.php добавил die3) Почистил /upload/tmp4) Удалил агента с ID 15) Удалил /bitrix/tools/putin...6) Восстановил Index.php и .settings.php

То есть даже не восстанавливали из бэкапа? после этого все нормально работает? У меня кроме перечисленного еще и ошибка при редактировании пользователя возникает https://skr.sh/sEfTxMnwXTP

Пользователь 35902

Заглянувший

Сообщений: 18 Баллов: 2 Регистрация: 15.01.2009

#43

28.06.2022 15:53:32

Цитата
Антон Штинов написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Адреса ботнетов, бесполезно по IP вычислять будет.

Пользователь 6393518

Заглянувший

Сообщений: 1 Баллов: 1 Регистрация: 28.06.2022

#44

28.06.2022 15:54:04

Всех приветствую! У моих знакомых так же был взломан сайт, все по предыдущим пунктам. Что лично я обнаружил:

Во-первых, все пароли были поменяны на незашифрованное слово "putin":

Скрытый текст

Способ решения проблемы:

1. Заходим в базу данных, получаем список пользователей по запросу:

Скрытый текст
SEL ECT id, LOGIN FR OM `b_user`;

2. Я могу вам предложить свой пароль, который сгенерировал рандомно из головы (временно), собственно - ставим его:

Скрытый текст
UPD ATE `b_user` se t PASSWORD = "$6$G4snOFwkxTQIpHS5$0K8JnFNBwVaGn4t5vI5zboim374km5ol6yYUDSCuR7Fs3wxae6lb.rXgl7GTMMTTdiUx0iJXVcLIwlap5M/Co0 " where id = "ID ВАШЕГО ПОЛЬЗОВАТЕЛЯ";

Пункт два помогает вам установить пароль на: "Vadimka123"

Да, вы войдете, но скорее всего вас ждет картина с удаленными ИБ.

Исправление остальных проблем:

1. Для начала - удалите ваши "Агенты", который делают эти деяния:

Первый "Агент" выглядит так:

Скрытый текст

Удаляем его.

Второй "Агент" выглядит так:

Скрытый текст

Удаляем его так же.

2. Поиск измененных файлов:

Если вы используете bitrix в одной директории с остальным сайтом, выполните следующую команду:

Скрытый текст

Сама команда:

Код
find . -type f -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Таким образом мы обнаружим последние модифицированные файлы. Если же многосайтовый режим, через шаринг bitrix - в директории bitrix советую выполнить так же эту команду.

3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:

В файл /bitrix/tools/vote/uf.php перед required (а ещё лучше - в компонент):

Код
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); }

В файл /bitrix/tools/html_editor_action.php перед required (а ещё лучше - в компонент):

Код
// Добавляем: $request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); }

В логах NGINX обнаружено следующее:

Скрытый текст

(остальное сейчас дополню)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#45

28.06.2022 15:56:23

Для запуска из консоли - ищем все модифицированные сегодня файлы, с раширением php в папке /var/www/html(папку ставим свою). Список будет в файле:
/var/log/daily_modify_php_files.log

find /var/www/ -type f -name "*.php" -mtime 0 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r >>/var/log/daily_modify_php_files.log

Пользователь 271328

Заглянувший

Сообщений: 7 Регистрация: 18.07.2014

#46

28.06.2022 16:00:08

Так же обнаружил попытку взлома на проекте, но она получилась у злоумышленников только наполовину т.к. агенты не успели отработать до того как я их обнаружил.

Были обращения с IP 185.180.199.209 к файлу /bitrix/tools/html_editor_action.php
Были изменены 2 агента, первый тот что с eval() c ID 1, второй с ID 2 (скриншот).

Прикрепленные файлы

Список агентов.jpg (18.47 КБ)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#47

28.06.2022 16:12:18

Цитата
написал: find . -type f -printf '%TY-%Tm-%Td %TT %p\n' \| sort -r

Вадим, поправьте:
добавьте -mtime 0

Иначе, он просто у вас ищет все файлы и выводит дату модификации.
Хотя, конечно можно и так. Все равно он сортирует от большего к меньшему(-r).

Пользователь 104919 Заглянувший Сообщений: 10 Регистрация: 14.03.2012	#48 0 28.06.2022 16:12:52 При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Пользователь 239353

Посетитель

Сообщений: 54 Баллов: 8 Регистрация: 31.01.2014

#49

28.06.2022 16:20:50

Цитата
написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Тот же IP, думаю все случаи были с него.

Пользователь 175698

Заглянувший

Сообщений: 6 Регистрация: 01.04.2013

#50

28.06.2022 16:21:25

Цитата
написал: При попытке восстановления из бэкапа (облачного или локального, без разницы) - ошибка https://skr.sh/sEfV6z57WRh кто-то знает как исправить ее чтобы восстановиться?

Проверьте права на запись в папке сайта для пользователя bitrix, если вы на виртуальной машине

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером