Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 108671 Постоянный посетитель Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011	#911 0 20.06.2024 18:15:27 Ничего нового не обнаружил в банке угроз https://bdu.fstec.ru/vul и на сайте Битрикс в разделе Центр информирования о необходимых обновлениях https://www.1c-bitrix.ru/vul/ Все стандартно. Прикрепленные файлы bus.png (49.57 КБ)

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#912

20.06.2024 18:17:11

Цитата
написал: Но больше интересует что делать тем клиентам, которые по ряду причин застряли на php7.4 и их не обновить так просто. В каком файле уязвимость, как можно пофиксить?

Даже на такие сайты с активной лицензии можно установить модуль проактивной защиты - есть обновление. Этого для защиты достаточно.

Пользователь 7754

Постоянный посетитель

Сообщений: 166 Баллов: 27 Регистрация: 07.12.2006

#913

20.09.2024 22:30:34

Сегодня от ТАЙМВЕБА пришло такое письмо:

Код

"Мы обнаружили, что один или несколько ваших сайтов, созданных на CMS «Битрикс», подверглись заражению вредоносным кодом.

Факт заражения может проявляться по-разному: злоумышленники могут подменять контент на сайте, рассылать спам, вести DDoS-атаки и так далее.
Чтобы устранить заражение и обезопасить свои сайты, рекомендуем как можно скорее выполнить следующие действия.

1. Подключитесь к серверу хостинга по SSH (инструкция) или откройте консоль в панели управления («Инструменты» → «SSH-консоль».

2. Проверьте сайт на наличие вредоносного кода. Для этого выполните поиск зараженных файлов с помощью команд:
find . -type f -exec md5sum {} + | grep "05d80c987737e509ba8e6c086df95f7d"
И:
find ./ Bitrix/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -rd

3. Удалите все обнаруженные файлы — они заражены.

4. Обязательно обновите CMS как минимум до версии 22.0.400 чтобы избежать дальнейшего заражения."

По SSH я этим запросом find . -type f -exec md5sum {} + | grep "05d80c987737e509ba8e6c086df95f7d" ничего не нашел.

У кого-нибудь есть подобная ситуация?

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#914

21.09.2024 05:18:05

какая подобная ситуация? что ничего не находит

я думаю у всех так должно быть

если серъезно, то указанный код односигнатурный, т.е. ищет только одну заразу, а их может быть очень много
к тому же тут по md5 ищет, т.е. любая минимальная модификация и всё - уже не найдёт

вторая строчка просто найдёт файлы содержащие Bitrix/public_html и изменённые за последний месяц (вроде так, сильно не вникал), это вообще могут быть и не вирусы, а то наудаляете не разобравшись

и вообще я бы удалять не торопился, куда нить лучше вне document_root перекинуть для изучения

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108671

Постоянный посетитель

Сообщений: 139 Баллов: 23 Регистрация: 25.11.2011

#915

21.09.2024 12:08:54

Цитата
написал: Сегодня от ТАЙМВЕБА пришло такое письмо:

Уже 100500 раз обсуждали, смотрите эту ветку по предыдущим событиям.
Если лень, то начните с проактивной защитой, которая есть по умолчанию в любой битрикс, начиная со Старта

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#916

27.02.2025 11:09:16

Цитата

написал:
Взломали так:Код2a12:5940:51d6::2 - - [09/Feb/2024:07:33:45 +0300] "GET /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 508794 "https://site.ru/bitrix/admin/" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:49 +0300] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 302 - "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%...; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:50 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%...; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/on.php HTTP/1.0" 200 7 "https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin" "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
То есть пост запросом на /bitrix/admin/fileman_file_upload.php

А как закрыть эту дыру?

Пользователь 13618

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#917

27.02.2025 11:16:21

Антон Иванов, обновления движка актуальны?

это чего такое? /bitrix/admin/on.php

похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ...

в fileman_file_upload.php первая же строчка
$USER->CanDoOperation('fileman_upload_files')
т.е. при обращени юзер был авторизован

в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php");
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php");

а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть

ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#918

27.02.2025 11:46:15

Такой вопрос
Во всех мануалах по закрытию дыр указано, что для файлов:

Код

/bitrix/tools/upload.php
/bitrix/tools/mail_entry.php
/bitrix/modules/main/include/virtual_file_system.php
/bitrix/components/bitrix/sender.mail.editor/ajax.php
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
/bitrix/admin/site_checker.php

Перед функцией «require_once» добавить следующий код:

Код
if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); }

Но например в файле bitrix/tools/upload.php там идет всего 1 строка:

Код
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/tools/upload.php");?>

А в этом уже, на который ссылается, есть «require_once». Так в итоге нам куда этот защитный код вставлять?
В первый файл перед require, или в конечный файл перед require_once?

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#919

27.02.2025 11:47:58

Цитата

написал:
Антон Иванов, обновления движка актуальны?

это чего такое? /bitrix/admin/on.php

похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ...

в fileman_file_upload.php первая же строчка
$USER->CanDoOperation('fileman_upload_files')
т.е. при обращени юзер был авторизован

в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php");
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php");

а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть

ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел

Я лишь процитировал предыдущее сообщение несколько страниц назад. Проблема не моя, просто я на чужой проблеме хочу обезопасить себя.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#920 0 27.02.2025 11:51:22 если у Вас движек актуален дополнительно ничего делать не нужно Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером