Можно дополнить этот список, чтобы другим людям не приходилось искать заново. Были такие сайты, где просто нереально обновить ядро Битрикса и приходится фиксить вручную
Так же помогает модуль с поиском зараженных файлов. На некоторых сайтах он системные файлы тоже помечал как подозрительные, но в некоторых на самом деле всё в порядке.
Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел , вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
1. У вас на сервере только этот сайт был? Т. е. исключена возможность взлома через другой сайт? 2. Взломать могли и через код публичной части сайта, за который отвечаете вы, а не Битрикс. Сканер безопасности проактивной защиты и проверку системы запускали после установки всех обновлений? Там было всё в порядке? Если ответы на оба вопроса положительные, то обращайтесь в техподдержку Битрикса. Пишите сюда, если появится новая информация.
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия Украины! Ваши личные данные слиты в сеть!" и далее по тексту. Накатил бэкап, сменил пароли админов, почистил то что нашел , вроде пока все нормально. Но блин непонятно как эта зараза вообще попала к нам. Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
Объясните кто знает, как правильно защититься от этого бреда в будущем? И почему блин владельцы и разрабы битрикса, беря с нас кучу денег за лицензию, не могут сделать защиту хотя бы от всяких элементарных eval-лов и создания совершенно левых файлов в системных каталогах? Ну можно же какую-то проверку целостности запилить, встроенный сканер какой-то с предупреждениями заранее и тд =(
В поддержку писали? Пишите, напишите сюда ответ. Мне помогли, больше проблем нет. Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.
написал: Сайт только неделю назад вместе со всеми модулями полностью обновили до последней версии, плюс перевели на php 8.1. И тут такое =( И зачем тогда все эти обновления?
1. У вас на сервере только этот сайт был? Т. е. исключена возможность взлома через другой сайт? 2. Взломать могли и через код публичной части сайта, за который отвечаете вы, а не Битрикс. Сканер безопасности проактивной защиты и проверку системы запускали после установки всех обновлений? Там было всё в порядке? Если ответы на оба вопроса положительные, то обращайтесь в техподдержку Битрикса. Пишите сюда, если появится новая информация.
1. На сервере пять битрикс сайтов, но дефейснули только на одном. Два на одной админке, еще три на другой. Все фул обновленные, с пхп 8.1, вот только недавно обновили. Не-битриксовских сайтов на сервере нет. 2. Ну теоретически да, это понятно. Хотя какая разница, взламывают через стороннее решение или фронт - система тоже должна это видеть по хорошему и хотя бы оповещать о подозрительных активностях. Сканер безопасности и проверку сайта после обновлений запускали да, там ничего серьезного не было, только ворчание про включенный дебаггинг.
написал: Тоже сегодня поймали на одном из сайтов "Мы IT Армия...
В поддержку писали? Пишите, напишите сюда ответ. Мне помогли, больше проблем нет. Если все обновили, а проблема остается, значит остался скрипт. Уже в этой ветки писали, как решить проблему.
Ну на данный момент мы тоже вроде все решили, да. В поддержку не обращались. А что вам там ответили, какие инструкции/советы написали?
