А как такое возможно что атака на сайт ведется с мас адреса? У нас все машины выключены были на момент атаки и с локальных машин атак быть не могло, может быть кто то сможет это объяснить?
|
Разработчикам |
Форум
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
Чистил сайты и с директорией .bx_temp за пределами сайта и без этого параметра. И то и другое ломают. |
|||
|
|
|
Вот скрипты которые содержат str_rot13 #grep -rl str_rot13 bitrix/modules/main/lib/search/content.php bitrix/modules/main/classes/general/vuln_scanner.php bitrix/modules/bitrix.xscan/include.php bitrix/modules/bitrix.xscan/include_fork.php Вот результат команды # grep -r str_rot13 bitrix/modules/main/lib/search/content.php: return str_rot13($token); bitrix/modules/main/classes/general/vuln_scanner.php: 'str_rot13', bitrix/modules/bitrix.xscan/include.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $cryptors = ['rot13', 'str_rot13', 'base32_decode', 'base64_decode', 'gzinflate', 'unserialize', что с этим делать? |
|||
|
|
|
|
Антон АК, тут ничего подозрительного.
|
|
|
|
|
|
Антон АК, у Вас какая проблема?
|
|
|
|
|
У меня всё началось с этого я пролечил/удалил, обновил и CMS и версию PHP, теперь вирусов нет, я беспокоился что внутри сайта остались PHP коды, которые сами по себе не являются вредоносными и не сканируются как угроза, но могут подкачать опять бэкдоры, поэтому попросил ТП хостинга прогнать код, который вы выкладывали выше и выложил свой результат. |
|||
|
|
|
|
Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.
|
||||
|
|
|
|||
