1С-Битрикс Разработчикам

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#811

26.07.2023 04:36:27

тут где то "пролетал" скриптик блокировки на уровне фаервола по списку айпишников "as-ban" вроде ...
поиском не находит

отбой - нашел
страница 28

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#812

26.07.2023 04:58:28

коллеги, в плане разгрузки нагрузки на сервер - может кто нить ещё что юзает?
поделитесь наработками если не жалко

я вот еще блэк лист юзернеймов юзаю для nginx - всякую шушору отсекаю
(просто блок с явно прописанными ботами)

нарыл ещё более сложный блокировщик - но не юзал ещё

ещё решение для nginx - блокировка по списку

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 25 Регистрация: 05.04.2017

#813

07.09.2023 19:01:46

Взломали Bitrix24 (сносят полностью /home/bitrix) при повторном взломе еще и файлы OS повреждают (ТП хостинга FVDS переустанавливала)

Логи OS и сервера NGINX по ним видно что прогоняли через сервис поиска уязвимостей
https://leakix.net/
искали конфиг SFTP клиента VSCode которые по ошибки могли улететь на сервер https://clck.ru/35ccmB (и не только это)

Код

194.36.190.226 - - [06/Sep/2023:19:46:53 +0300 - -] 403 "GET /.git/HEAD HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.svn/wc.db HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - -] 403 "GET /.hg/store/00manifest.i HTTP/2.0" 586 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:46:54 +0300 - 0.082] 404 "GET /.env HTTP/2.0" 4309 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:19:47:28 +0300 - 0.096] 404 "GET /.vscode/sftp.json HTTP/2.0" 4327 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"
194.36.190.226 - - [06/Sep/2023:20:02:19 +0300 - 0.016] 404 "GET /.vscode/sftp.json HTTP/2.0" 231 "https://leakix.net/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в свой шелл CASUA

Код

194.36.190.226 - - [06/Sep/2023:19:44:19 +0300 - 0.006] 200 "GET /bitrix/casshell.php HTTP/2.0" 3794 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36" "-"

стучали в файл html_editor_action.php

Код

45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.025] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13849 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"45.146.167.56 - - [06/Sep/2023:19:06:41 +0300 - 0.024] 200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1" 13863 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0_Cyberok" "-"

с помощью bitrix.xscan был обраружен скрипт /g.php в котором содержался

phpFileManager 1.7.9 | By Fabricio Seger Kolling

Цитата

//{"lang":"","fm_root":"","timezone":"","date_format":"Y\/m\/d H:i","auth_pass":"d41d8cd98f00b204e9800998ecf8427e","error_reporting":1}
/*-------------------------------------------------
| PHP FILE MANAGER
+--------------------------------------------------
| phpFileManager 1.7.9
| By Fabricio Seger Kolling
| Copyright © 2004-2021 Fabrício Seger Kolling
| E-mail: dulldusk@gmail.com
| URL: http://phpfm.sf.net
| Last Changed: 2021-09-18
+--------------------------------------------------
...

https://github.com/edgardo001/phpFileManager/tree/master
https://sourceforge.net/projects/phpfm/

Данный скрипт позволяет получить доступ к системным папкам OS сервера, и повредить их, тем самым удалить всю информацию и "уложить" сервер.

https://site-cloud-files.bitrix.info/resize_cache/26634072/11df73f536e706bdcbd39dc8cd40b862/forum/6d...

Цитата ТП FVDS

Цитата

От: - 2023-09-07 10:46:39
По неизвестным причинам пропала часть файлов, которые нужны для корректной загрузки и работы ОС.
Пытаемся восстановить их.
Точных сроков пока назвать, к сожалению, не можем.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Цитата

От: - 2023-09-07 11:37:51
На сервере отсутствовали файлы, необходимы для загрузки ОС.
Переустановили ядро и загрузчик - сервер запустился.
В данный момент видим, что отсутствует директория /home/bitrix, т.е. все файлы сайта.
При этом другие директории, судя по всему, не затронуты: MySQL запущен и работает, базы данных на месте. Также на месте файлы в директории /ts (судя по всему это какие-то старые бекапы).

Вижу по переписке, что ранее ваша система была взломана, вероятно это послужило причиной.

Рекомендуем заказать новый сервер, и восстановить сайты на нем из резервных копий. Для этого вы можете обратиться к нам.

--
С уважением,
Системный администратор службы технической поддержки FirstVDS

Добавьте в NGINX блокировку POST запросов к файлам

/etc/nginx/bx/site_settings/default/post_deny_all.conf

Код

# Blocked POST request injection
location ^~ /bitrix/tools/upload.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/mail_entry.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/modules/main/include/virtual_file_system.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/components/bitrix/sender.mail.editor/ajax.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/vote/uf.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/tools/html_editor_action.php {
    limit_except POST {
        deny  all;
    }
}

location ^~ /bitrix/admin/site_checker.php {
    limit_except POST {
        deny  all;
    }
}

Прикрепленные файлы

2023-09-08_12-26-27.png (53.01 КБ)
2023-09-08_12-00-46.png (54.82 КБ)

С ув. Вячеслав Докукин

Пользователь 330739

Посетитель

Сообщений: 44 Баллов: 6 Регистрация: 16.04.2015

#814

08.09.2023 10:20:41

Здравствуйте! Сайт был заражен вирусом, видимые зараженные файлы удалил. Был только 1 бэкап до заражения, скопировал оттуда папку битрикс. Сайт поднялся, но некоторые страницы (страница обновлений, бэкапов) в админке выдают ошибку

Код
"Parse error: syntax error, unexpected '}' in /bitrix/modules/main/classes/general/update_client.php on line 1".

Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

Пользователь 1064429

Постоянный посетитель

Сообщений: 154 Баллов: 25 Регистрация: 05.04.2017

#815

08.09.2023 22:04:46

Alex Sam,

Цитата
Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

попробуйте перезаписать файлы ядра

Чтобы обновить файлы ядра (если вдруг по монитору качества вылезет ошибка)

Для этого нужно перейти на страницу Обновление платформы с параметром

BX_SUPPORT_PROTOCOLX=Y

вместо X порядковый номер месяца

Код
$ php -r "echo date('j', time());"

/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL8=Y

С ув. Вячеслав Докукин

Пользователь 330739

Посетитель

Сообщений: 44 Баллов: 6 Регистрация: 16.04.2015

#816

10.09.2023 22:59:38

Цитата

написал:
Alex Sam,

Цитата
Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

попробуйте перезаписать файлы ядра

Чтобы обновить файлы ядра (если вдруг по монитору качества вылезет ошибка) Для этого нужно перейти на страницу Обновление платформы с параметром BX_SUPPORT_PROTOCOLX=Y вместо X порядковый номер месяца

Код
$ php -r "echo date('j', time());"

/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL8=Y

p.s. нашел подходящую версию файла и зашел

спасибо, но вот как раз в обновления платформы я не могу зайти, ошибка на странице

Пользователь 4864667

Постоянный посетитель

Сообщений: 129 Баллов: 25 Регистрация: 11.04.2023

#817

11.09.2023 00:16:34

Цитата
Alex Sam написал: Проблема в том, что версия битрикс 16.0.13 и я не могу использовать другой чистый дистрибутив. Как можно исправить?

Напишите в поддержку, попросите дистрибутив, близкий к вашей версии

Пользователь 1163543 Посетитель Сообщений: 26 Баллов: 5 Регистрация: 25.05.2017	#818 0 20.09.2023 14:42:07 Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#819

20.09.2023 14:45:56

Цитата
написал: Очередная «десять из десяти»: https://bdu.fstec.ru/vul/2023-05857 Ждём новых волн.

А есть рекомендации от Битрикс, что делать помимо срочных обновлений?

Пользователь 13618 Эксперт Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011 Сертифицированный партнер	#820 0 20.09.2023 15:23:46 вообще непонятно - как проверить ресурс на эту уязвимость? как защищаться? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером