Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#911

13.02.2024 01:23:09

Обратились пару клиентов.
Битриксы древних версий, но все ранее известные уязвимости по имеющимся рекомендациям были закрыты.

Из симптомов, куча perl процессов из /tmp, левое задание cron, куча левых файлов в bitrix/admin, папки assets со всякой дрянью, где только можно, процессы висящие в памяти.

Взломали так:

Код

2a12:5940:51d6::2 - - [09/Feb/2024:07:33:45 +0300] "GET /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 508794 "https://site.ru/bitrix/admin/" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:49 +0300] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 302 - "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:50 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/on.php HTTP/1.0" 200 7 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"

То есть пост запросом на /bitrix/admin/fileman_file_upload.php

Сам процесс заливки файлов виден даже в последних действиях в админке.

При этом в админке он не авторизовывался и включено OTP

Так что, кто до сих пор не обновился и словит подобное, имейте ввиду

Удалённый системный администратор

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#912

13.02.2024 07:05:15

Цитата
Виталий Силин написал: Из симптомов, куча perl процессов из /tmp, левое задание cron

это что-то новенькое

Цитата
Виталий Силин написал: При этом в админке он не авторизовывался и включено OTP

при файловом доступе авторизация вообще не проблема

Цитата
Виталий Силин написал: Так что, кто до сих пор не обновился и словит подобное, имейте ввиду

100% !
может быть и хуже
на сколько я помню Украинские хакеры после начала СВО сносили контент - как в БД так и в файлах

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#913

13.02.2024 07:11:56

Цитата
Виталий Силин написал: Битриксы древних версий, но все ранее известные уязвимости по имеющимся рекомендациям были закрыты.

вот я тут сильно сомневаюсь, что закрыты - я когда "наискосок" посмотрел "bitrix attack" (90% конечно не понял, уж больно всё на "заумном"), но понял одно - если внутри ядра не поправлено, то "достучаться" можно не только через явно указанные дыры

и первое, что нужно сделать это актуализировать движек, потом всё в гит и вылавливать дыры
в некоторых случаях (например в Вашем) наверное проще перетащить контент на свежеустановленный движек, потом гит и режим наблюдения, иначе можно задолбаться вычищать

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#914

13.02.2024 07:18:42

Цитата
Агзамов Раиль написал: Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь.

бесплатно?
если да, то вообще супер-вариант!

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#915

13.02.2024 16:40:21

Цитата

написал:
в init.php
прописал
AddEventHandler("main", "OnEndBufferContent", "RemoveMaliciousCode");

// Функция для удаления вредоносного кода
function RemoveMaliciousCode(&$content) {
// Замените 'вредоносный_код' на фактический код или часть его, который вы хотите удалить
$maliciousCode = "' https://www.googletagmanager.com/gtm.js?id='," ;
// Поиск и удаление вредоносного кода
$content = str_replace($maliciousCode, "", $content);
}

Капча перестала появляться в консоли браузера появилась ошибка о том что не может она. можно дальше копать. Временная заплатка пока не найдем источник

Проблема все таки в memcached. Был доступен из вне.

https://dev.1c-bitrix.ru/learning/course/?COURSE_ID=37&LESSON_ID=9421

Пользователь 4097266

Постоянный посетитель

Сообщений: 88 Баллов: 14 Регистрация: 06.04.2020

#916

13.02.2024 16:41:43

Цитата

написал:

Цитата
Агзамов Раиль написал: Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь.

бесплатно?
если да, то вообще супер-вариант!

Да, помогли разобраться)

Пользователь 1364921

Заглянувший

Сообщений: 15 Баллов: 1 Регистрация: 01.09.2017

#917

21.02.2024 10:42:54

Добрый день, подскажите на счет "Защита административной части"
У меня статический айпи, по этому у меня включена защита доступа к административной части.
И сегодня увидел попытку подбора пароля в журнале событий.

Посмотрел логи, все запросы с ipv4 были заблокированы, а вот с ipv6 код ответа 200.
ipv6

Код

2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:00 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 263 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"
2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:01 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 5056 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"
2a12:5940:f4c6::2 - - [21/Feb/2024:05:08:01 +0300] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 213 "https://сайт.ру/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:47.0) Gecko/20100101 Firefox/47.0"

ipv4

Код

69.57.162.20 - - [21/Feb/2024:09:21:59 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 403 118 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36"
62.210.102.84 - - [21/Feb/2024:09:22:19 +0300] "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 403 118 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36"

Собственно вопрос блокирует ли проактивная защита такие айпи адреса или это новая попытка взлома?Битрикс старой версии, не обновляется.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#918

21.02.2024 10:46:02

Цитата
Павел написал: Посмотрел логи, все запросы с ipv4 были заблокированы, а вот с ipv6 код ответа 200.ipv6

такое лучше в саппорте спросить

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#919

21.02.2024 16:04:22

Цитата
написал: Да, помогли разобраться)

А как помогли?
Какие рекомендации

Пользователь 223987

Посетитель

Сообщений: 34 Баллов: 6 Регистрация: 27.12.2013

#920

20.06.2024 14:38:36

Приветствую!

Сегодня от 1С-Битрикс получили письмо https://disk.yandex.ru/d/8NkZXGpU-gZ1xA

Цитата

Проверьте наличие последней версии продукта. Если обнаружите, что установленная версия устарела, незамедлительно выполните обновление с помощью ответственного IT-специалиста или обратитесь за помощью к вашему партнеру.

Опять критическую уязвимость обнаружили? У кого то уже поломали сайты?

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером