Разработчикам

Форум

Заражение сайтов

Пользователь 1582615 Заглянувший Сообщений: 6 Регистрация: 01.12.2017	#91 0 10.02.2025 11:58:52 _удалено_

Пользователь 68985

Посетитель

Сообщений: 26 Баллов: 4 Регистрация: 14.08.2010

#92

10.02.2025 12:30:03

По поводу: /form/index.php и /ajax/form.php

я не стал голову ломать и сделал так:

В /ajax/form.php
$fix_asd = array_search('file_put_contents', $_POST);if($fix_asd !== false){die;}
$fix_asd = array_search('base64_decode', $_POST);if($fix_asd !== false){die;}

В /form/index.php
if($_SESSION["SALE_USER_ID"] == '0' or $_SESSION["HTTP_REFERER"] == ''){die;}

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#93

10.02.2025 12:38:41

Цитата
Zlyuken написал: В /ajax/form.php

не спасёт. Там get запрос. /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
я добавил false в условия

elseif($form_id == 'TABLES_SIZE' && $url_sizes && false):
if($formType == 'CRM' && false) {

а в error_log_logic.php закомментировал вывод ошибки

Код
//AddMessage2Log(print_r($request->get('data'), true));

Пользователь 68985

Посетитель

Сообщений: 26 Баллов: 4 Регистрация: 14.08.2010

#94

10.02.2025 12:59:54

Цитата

написал:

Цитата
Zlyuken написал: В /ajax/form.php

не спасёт. Там get запрос. /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt

тупанул не много, в логах гет.
ну тогда так:
$minus1 = 'file_put_contents';
$minus2 = 'base64_decode';
$arr_data = array_merge($_POST, $_GET);
$fix_asd = array_search($minus1, $arr_data);$fix_asd = array_search($minus2, $arr_data);
if($fix_asd !== false){die;}

UPD: эти строки в самом начале файла, до вызова лог файла.

Пользователь 1242163

Посетитель

Сообщений: 22 Баллов: 3 Регистрация: 30.06.2017

#95

10.02.2025 13:16:17

Цитата
написал: Другой сайт на Аспро-Максимум обновлялся регулярно (последнее 25 декабря), все равно там есть вирусня.в файле js_error.txt такое

правильно понимаю, что наличие файла js_error.txt — это попытка взлома, но еще не сам взлом сайта?
на проектах появились эти файлы, с попытками создать файлы типа ajax/7909e3e68924.php
и по логам потом попытки обращений к этим файлам, но безуспешные.

анализирую сервер на наличие новых файлов, вроде пока чисто

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#96

10.02.2025 13:22:55

Цитата
Сергей написал: правильно понимаю, что наличие файла js_error.txt — это попытка взлома, но еще не сам взлом сайта?

У меня этого файла не было. Но он создавался, а потом удалялся. Об этом говорит содержимое get запроса злоумышленника unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22)
Поэтому если этого файла у вас нет, то еще не значит что у вас не было взлома.

Если в логах есть хоть один ответ 200 к файлам типа ajax/7909e3e68924.php или e3e68/index.php, то сайт взломан и злые люди получили доступ ко всем файлам и к подключению к базе. Я на пустом сервере пооткрывал многие свои вредные файлы - это разные файловые менеджеры и sql менеджеры.

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#97

10.02.2025 13:27:55

Я полагаю все эти файловые и sql менеджеры размещенные у меня на сервере в файлах типа ajax/7909e3e68924.php или e3e68/index.php в кол-ве 50шт представляют собой "товар". Человек взломал, разместил и продаёт эти доступы в даркнете или просто передал их. А покупатели ссылок, доступов: кто-то порнушные ссылки вставил, чтобы поднять их в поиске или опустить наш сайт в поиск или просто пыль в глаза бросить, чтобы скачать всю базу и т.д...

Пользователь 8764442

Заглянувший

Сообщений: 1 Регистрация: 10.02.2025

#98

10.02.2025 15:33:16

Ну вот нафига вы выложили в открытый доступ цепочку, через что загрузили вирус? Сейчас кроме этих хакеров набегут малолетки и заразят еще кучу сайтов!! Удалите исходный код уязвимых файлов и запросы к этим файлам!!

Пользователь 1242163

Посетитель

Сообщений: 22 Баллов: 3 Регистрация: 30.06.2017

#99

10.02.2025 20:04:07

Цитата
написал: Если в логах есть хоть один ответ 200 к файлам типа ajax/7909e3e68924.php или e3e68/index.php, то сайт взломан и злые люди получили доступ ко всем файлам и к подключению к базе.

вроде обошлось, по логам все запросы к файлам были неудачные,
сканирование сервера новых / свежеизмененных непонятных файлов не выявило (в т.ч. в папке upload, папки с кешем не проверял, сразу снес их)
кроме файла js_error.txt, в который писались ошибки при обращении через error_log_logic.php, но это, если правильно понял, не самое страшное.

по рекомендациям сделал по-максимуму, спасибо:
- закомментировал AddMessage2Log, чтобы вообще блокировать создание js_error.txt
- добавил false к TABLES_SIZE и CRM
- добаил die при попытке вызова file_put_contents и base64_decode
- ну и забанил сетку с нехорошим IP — 45.142.122.46

если кто посоветует, что еще проверить кроме новых / свежеизмененных файлов, буду признателен!

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#100

10.02.2025 22:35:32

Цитата

написал:

Цитата
написал: Если в логах есть хоть один ответ 200 к файлам типа ajax/7909e3e68924.php или e3e68/index.php, то сайт взломан и злые люди получили доступ ко всем файлам и к подключению к базе.

Я правильно понимаю, что если в логах именно запросы к новосозданным файлам типа 6d097dd98a.php неудачные, тогда защита сработала?
Типа "GET /ajax/a9279bd1e7db.php HTTP/1.0" 404

А если такое проходит?
45.142.122.46 - - [10/Feb/2025:04:09:45 +0300] "GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0" 200 85937 "https://.ru:443/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2684.12 Safari/537.36"

Это вариант нормы? При этом в папке не появилось левых файлов, включая js_error.txt

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером