Форум

На днях лечил сайтик с Аспро - такого количества бэкдоров я ещё не видел!

Причём сама лицензия на Битрикс актуальна - движек отностительно недавно обновлен, а вот на решение клиент денежек видимо зажал.

Ну и как результат - "заходи кто хочешь, бери что хочешь"...
Аспро пофиксил, что можно пролечил - но тут гарантию уже не даш, т.к. найти замаскированные бэкдоры в таком количестве файлов дело не простое.

Паблик скриптики можно и вручную "пройти", со стороны движка вся надежда на инструмент "файлы ядра не модифицировались".
Ну и надеюсь в Аспро кроме того, что пофиксил больше ничего не дыряво.

Плюс на fail2ban всяких ловушек повесил от сканирования уязвимостей - всё посложнее будет сканить, да и сайту полегче без такого трафика.

глянул я модуль, я в "обсуждение" на маркетплейсе уже написал
имхо такие сигнатуры, причём прибитые хардкодом на боевом сайте выглядят очень рисковано
к примеру - 'echo' может легко в качестве подстроки в теле какого нить полезного post запроса присутствовать

на сайт о котором выше писал модуль поставил, там контент редко меняют - понаблюдаю ... в целом то модуль полезный, хакерские запросы режет

в идеале придумать бы как анализировать тело POST запросов где нить пораньше - например на уровне nginx и блочить на уровне фаервола с занесением в блэклист - сейчас модуль сработает только с уже подключенным прологом Битрикса

Во первых - логи. А логи это уже постфактум.
Во вторых тело POST запроса не логируется.

Тут важнее во-первых.

$request_body в nginx не везде работает