Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#791

07.07.2023 16:16:21

Цитата

написал:

Цитата
написал: Htaccess умеет анализировать - у него там отдельная страница проверки есть.

у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

Значит там реально есть проблема, проверьте вручную - сверьте с эталоном

Пользователь 93386

Эксперт

Сообщений: 1120 Баллов: 181 Регистрация: 13.06.2011

#792

07.07.2023 16:42:16

Цитата
написал: у меня эта страница после долгой загрузки почему то в ошибку 504 сваливается

скорее всего вылет по таймауту, возможно просто файлов очень много, попробуйте увеличить таймаут php

Пользователь 24187

Заглянувший

Сообщений: 7 Баллов: 1 Регистрация: 03.05.2008

#793

07.07.2023 16:51:19

Товарищи, у кого-то есть проблемы с Русониксом (rusonyx.ru | caravan.ru | zenon.net | infobox.ru)?
Ограничили post запросы из-за чего не работает загрузка в инфоблоки.
Со своей стороны внесли изменения по мотивам https://www.cyberok.ru/docs/CyberOK-bitrix_web_1.pdf . К upload.php ограничили доступ по IP.
Но они не хотят снимать блокировку и Требуют обновить Битрикс до актуальной версии.

Пользователь 6537570

Посетитель

Сообщений: 86 Баллов: 8 Регистрация: 10.10.2022

#794

07.07.2023 17:36:22

Владимир Потапов, А какой выход видите? Тут либо обновить битрикс до актуальной версии и спать спокойно или же менять хостинг который не будет без ведома пользователя вносить какие-либо изменения. А лучше сразу оба пункта.

Пользователь 93386

Эксперт

Сообщений: 1120 Баллов: 181 Регистрация: 13.06.2011

#795

10.07.2023 10:28:44

Цитата
написал: Но они не хотят снимать блокировку и Требуют обновить Битрикс до актуальной версии.

уже столкнулся. Блокировка прописывается в nginx и через Plesk панель эти ограничения спокойно можно закоментировать.
Важно не удалять, а именно комментировать - чтобы робот их не записывал повторно.
Ну а так конечно уже проекты свои перевожу на новую версию PHP и обновляю Битрикс

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#796

26.07.2023 04:36:27

тут где то "пролетал" скриптик блокировки на уровне фаервола по списку айпишников "as-ban" вроде ...
поиском не находит

отбой - нашел
страница 28

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#797

26.07.2023 04:58:28

коллеги, в плане разгрузки нагрузки на сервер - может кто нить ещё что юзает?
поделитесь наработками если не жалко

я вот еще блэк лист юзернеймов юзаю для nginx - всякую шушору отсекаю
(просто блок с явно прописанными ботами)

нарыл ещё более сложный блокировщик - но не юзал ещё

ещё решение для nginx - блокировка по списку

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 14 Регистрация: 05.04.2017

#798

07.09.2023 19:01:46

Взломали Bitrix24 (сносят полностью /home/bitrix) при повторном взломе еще и файлы OS повреждают (ТП хостинга FVDS переустанавливала)

Логи OS и сервера NGINX по ним видно что прогоняли через сервис поиска уязвимостей
https://leakix.net/
искали конфиг SFTP клиента VSCode которые по ошибки могли улететь на сервер https://clck.ru/35ccmB (и не только это)

Код

194.36.190.226 - - [06/Sep/2023:19:46:53 +0300 - -] 403 "GET /.git/HEAD HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.svn/wc.db HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.hg/store/00manifest.i HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - 0.082] 404 "GET /.env HTTP/2.0" 4309 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:47:28 +0300 - 0.096] 404 "GET /.vscode/sftp.json HTTP/2.0" 4327 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:20:02:19 +0300 - 0.016] 404 "GET /.vscode/sftp.json HTTP/2.0" 231 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в свой шелл CASUA

Код

194.36.190.226 - - [06/Sep/2023:19:44:19 +0300 - 0.006] 200 "GET /bitrix/casshell.php HTTP/2.0" 3794 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в файл html_editor_action.php

Код

45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.025] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13849 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.024] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13863 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"

с помощью bitrix.xscan был обраружен скрипт /g.php в котором содержался

phpFileManager 1.7.9 | By Fabricio Seger Kolling

Цитата

//{"lang":"","fm_root":"","timezone":"","date_format":"Y\/m\/d H:i","auth_pass":"d41d8cd98f00b204e9800998ecf8427e","error_reporting":1}
/*-------------------------------------------------
| PHP FILE MANAGER
+--------------------------------------------------
| phpFileManager 1.7.9
| By Fabricio Seger Kolling
| Copyright © 2004-2021 Fabrício Seger Kolling
| E-mail: dulldusk@gmail.com
| URL: http://phpfm.sf.net
| Last Changed: 2021-09-18
+--------------------------------------------------
...

https://github.com/edgardo001/phpFileManager/tree/master
https://sourceforge.net/projects/phpfm/

Данный скрипт позволяет получить доступ к системным папкам OS сервера, и повредить их, тем самым удалить всю информацию и "уложить" сервер.

https://site-cloud-files.bitrix.info/resize_cache/26634072/11df73f536e706bdcbd39dc8cd40b862/forum/6d...

Цитата ТП FVDS

Цитата

От: - 2023-09-07 10:46:39
По неизвестным причинам пропала часть файлов, которые нужны для корректной загрузки и работы ОС.
Пытаемся восстановить их.
Точных сроков пока назвать, к сожалению, не можем.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Цитата

От: - 2023-09-07 11:37:51
На сервере отсутствовали файлы, необходимы для загрузки ОС.
Переустановили ядро и загрузчик - сервер запустился.
В данный момент видим, что отсутствует директория /home/bitrix, т.е. все файлы сайта.
При этом другие директории, судя по всему, не затронуты: MySQL запущен и работает, базы данных на месте. Также на месте файлы в директории /ts (судя по всему это какие-то старые бекапы).

Вижу по переписке, что ранее ваша система была взломана, вероятно это послужило причиной.

Рекомендуем заказать новый сервер, и восстановить сайты на нем из резервных копий. Для этого вы можете обратиться к нам.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Добавьте в NGINX блокировку POST запросов к файлам

/etc/nginx/bx/site_settings/default/post_deny_all.conf

Код

# Blocked POST request injection
location ^~ /bitrix/tools/upload.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/mail_entry.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/modules/main/include/virtual_file_system.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/components/bitrix/sender.mail.editor/ajax.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/vote/uf.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/html_editor_action.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/admin/site_checker.php {
    limit_except POST {
        deny  all;
    }
}

Прикрепленные файлы

2023-09-08_12-26-27.png (53.01 КБ)
2023-09-08_12-00-46.png (54.82 КБ)

С ув. Вячеслав Докукин

Пользователь 330739

Посетитель

Сообщений: 46 Баллов: 7 Регистрация: 16.04.2015

#799

08.09.2023 10:20:41

Здравствуйте! Сайт был заражен вирусом, видимые зараженные файлы удалил. Был только 1 бэкап до заражения, скопировал оттуда папку битрикс. Сайт поднялся, но некоторые страницы (страница обновлений, бэкапов) в админке выдают ошибку

Код
"Parse error: syntax error, unexpected '}' in /bitrix/modules/main/classes/general/update_client.php on line 1".

Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 14 Регистрация: 05.04.2017

#800

08.09.2023 22:04:46

Alex Sam,

Цитата
Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

попробуйте перезаписать файлы ядра

Чтобы обновить файлы ядра (если вдруг по монитору качества вылезет ошибка)

Для этого нужно перейти на страницу Обновление платформы с параметром

BX_SUPPORT_PROTOCOLX=Y

вместо X порядковый номер месяца

Код
$ php -r "echo date('j', time());"

/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL8=Y

С ув. Вячеслав Докукин

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером