Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 233608 Постоянный посетитель Сообщений: 140 Баллов: 22 Регистрация: 24.12.2013	#81 0 28.06.2022 19:36:33 Я так и не понял, уязвимость только на порталах без обновлений? Т.е. у кого установлены последние обновления, все норм?

Пользователь 609443 Эксперт Сообщений: 363 Баллов: 76 Регистрация: 07.06.2016	#82 0 28.06.2022 19:40:02 Вроде как да)

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#83

28.06.2022 19:43:56

Цитата

написал:

Цитата
написал: <? if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); } require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Спасибо.

Только это для файла /bitrix/tools/html_editor_action.php

А для /bitrix/tools/vote/uf.php
<?
if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
header("Status: 404 Not Found");
die();
}
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/vote/tools/uf.php");
?>

Но, как по мне, всё это не панацея, поменял запрос на GET и ломай.
Сейчас просто это помогает, чтобы временно решить проблему , т.к. скрипт для внедрения стандартный и используется одинаково для всех сайтов. потом поднапрягутся ребята, поменяют логику работы и опять будут сломанные сайты.

так что, может быть, лучшим все-таки является вставка die() прямо в начало файлов, а потом уже разбираться что и как можно поправить.

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#84

28.06.2022 19:49:10

Цитата
написал: Я так и не понял, уязвимость только на порталах без обновлений? Т.е. у кого установлены последние обновления, все норм?

мартовское вроде было обновление это.

причем, битрикс рассылал всем письмо, что нужно обновиться, ибо обнаружена уязвимость бла-бла-бла.

Но, вот выпустить заплатку, видимо, не судьба. А обновиться даже с 19 на последнюю версию - это обновить сервер, если у вас php 7.2 или ниже, накатить siteupdate, обновить кучу модулей. Работа не на один час.

Пользователь 5064076

Заглянувший

Сообщений: 7 Регистрация: 01.03.2021

#85

28.06.2022 19:49:45

Цитата
написал: Я так и не понял, уязвимость только на порталах без обновлений? Т.е. у кого установлены последние обновления, все нона одном сайте последние

На одном сайте последние обновления были установлены 14 июня (2 недели назад), сейчас проверил - на модуль vote стоит версия 21.0.100 от 04.03.2022.
В системе обновлений сейчас висит новая версия vote 22.0.0
Эта бяка присутствует в upload (BXTEMP-2022-06-24 изменен 23.06.2022 15:39:38). Наблюдаются проблемы с заказами, обменом с 1С и печатью чеков на кассе (касса не доступна)
Так что Обновления не гарантия

Пользователь 431805

Постоянный посетитель

Сообщений: 58 Баллов: 10 Регистрация: 13.01.2016

#86

28.06.2022 19:53:04

Цитата

написал:

Цитата
написал: Я так и не понял, уязвимость только на порталах без обновлений? Т.е. у кого установлены последние обновления, все нона одном сайте последние

а .htaccess есть в /upload?
если да, то указано, что не давать выполнять скрипты?
<IfModule mod_mime.c>
<Files ~ \.(php|php3|php4|php5|php6|phtml|pl|asp|aspx|cgi|dll|exe|shtm|shtml|fcg|fcgi|fpl|asmx|pht|py|psp|rb|var)>
SetHandler text/plain
ForceType text/plain
</Files>
</IfModule>

Это прокатит, если у вас связка nginx+apache

если php-fpm, то прописывать надо в nginx

в какой-то мере помогает избежать выполнения скриптов в /upload/

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#87

28.06.2022 19:53:41

Цитата

написал:
Еще немножко информации:

188.72.203.9 - - [20/Jun/2022:23:50:34 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.0" 200 214 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edg/99.0.1150.36"
188.72.203.9 - - [20/Jun/2022:23:50:35 +0300] "POST /bitrix/tools/html_editor_action.php HTTP/1.0" 200 383 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edg/99.0.1150.36"
188.72.203.9 - - [20/Jun/2022:23:50:35 +0300] "POST /bitrix/tools/html_editor_action.php HTTP/1.0" 200 1 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edg/99.0.1150.36"
188.72.203.9 - - [20/Jun/2022:23:50:36 +0300] "GET /bitrix/tools/sale_print.php HTTP/1.0" 200 30 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Safari/537.36 Edg/99.0.1150.36"

После этого оказалась создана директория на сайте:
/upload/tmp/BXTEMP-2022-06-21/11/bxu/main/8cb4fb53.......1afff015d10d791c6/
с файлами (права на все rw-rw-rw):
.log
1.log
default
pindex101.package

Любопытно содержимое файла .log:
a:8:{s:4:"hash";s:1:".";s:2:"id";s:1:".";s:12:"uploadStatus";s:8:"uploaded";s:13:"executeStatus";s:8:"executed";s:4:"name";N;s:4:"type";N;s:4:"size";N;s:5:"files";a:1:{s:7:"default";a:9:{s:4:"size";i:8445;s:8:"tmp_name";s:122:"/home/u/account/name-account/public_html/upload/tmp/BXTEMP-2022-06-21/11/bxu/main/8......d10d791c6/default";s:4:"type";s:10:"image/jpeg";s:4:"name";N;s:4:"code";s:7:"default";s:12:"uploadStatus";s:8:"uploaded";s:3:"url";s:133:" =1&bxu_info[mode]=vie...]https : //мойсайт-ру/bitrix/tools/html_editor_action.php?bxu_info[CID]=1&bxu_info[mode]=vie... КБ";}}}

файл default представлен как тиа image/jpeg и содержит что от закодированное

Интересно, что попытки обращения с одного адреса были на /bitrix/tools/html_editor_action.php (POST) и (GET) на /bitrix/tools/sale_print.php и /bitrix/tools/composite_data.php (в логах за весь день ни кто другой не обращался ни к композиту, ни к sale_print )

Нашел на сайтах такие же файлы, проверил залитую картинку - всё Ок, картинка была залита нами в медиабиблиотеку, для размещения на одной из статических страниц.
Так что скорее всего это сам движок так файлы заливает в медиабиблиотеку, когда это делается легальным пользователем.

Пользователь 5064076

Заглянувший

Сообщений: 7 Регистрация: 01.03.2021

#88

28.06.2022 19:57:52

Цитата

написал:

Цитата

написал:

Цитата
написал: Я так и не понял, уязвимость только на порталах без обновлений? Т.е. у кого установлены последние обновления, все нона одном сайте последние

.htaccess есть. Связка nginx+apache. Всё так же как и на остальных сломанных сайтах

Пользователь 1947629

Эксперт

Сообщений: 915 Баллов: 190 Регистрация: 18.04.2018

#89

28.06.2022 20:04:57

Цитата

написал:
Нашел на сайтах такие же файлы, проверил залитую картинку - всё Ок, картинка была залита нами в медиабиблиотеку, для размещения на одной из статических страниц.
Так что скорее всего это сам движок так файлы заливает в медиабиблиотеку, когда это делается легальным пользователем.

тоже нашел похожие папки и файлы
на одном сайте реальная картинка из слайдера, на другом эти папки и файлы датированы 20 годом и тех пор с сайтом ничего криминального не случалось, так что это не показатель взлома
некоторые прогнал через конвертеры unserialize, и попадались строчки в base64 формате, декодировал, там js скрипт зашит

Пользователь 151737

Заглянувший

Сообщений: 25 Баллов: 2 Регистрация: 21.11.2012

#90

28.06.2022 20:34:39

Цитата

написал:

Цитата

написал:

Цитата
написал: Заметил, что в логах взлом был с адреса 185.180.199.209, В группе разработчиков в телеге, у кого-то тоже взлом с аналогичного IP У кого какие адреса использовались для взлома?

Тот же IP, думаю все случаи были с него.

iptables -A INPUT -s 185.180.199.209 -j DROP

и вас больше не побеспокоят с этого IP :-)

Это Москва, если 2ip.ru/geoip/ не врёт

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером