Разработчикам

Форум

Заражение сайтов

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#101

10.02.2025 22:54:56

Цитата
написал: Удалите исходный код уязвимых файлов и запросы к этим файлам!!

Вы всерьез думаете, что у хакеров нет исходников продукта битрикс (в частности аспро) и они не дебажат по логам то, что ломают у себя же на практике??пффффф......

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#102

10.02.2025 23:27:25

Цитата
Антон Иванов написал: Я правильно понимаю, что если в логах именно запросы к новосозданным файлам типа 6d097dd98a.php неудачные, тогда защита сработала?Типа "GET /ajax/a9279bd1e7db.php HTTP/1.0" 404

По этому запросу ожидался плохой файл, но его там не оказалось и это хорошо. Либо файл был вами удалён, либо его создание не удалось, либо этот путь одинаковый для всех сайтов, взломов и это просто боты обходят все сайты на наличие этих файлов.
Это всё хорошо, но проверить наличие уязвимостей в аспро всё равно необходимо, даже если в логах 404. Если вы что-то предприняли и пытаетесь проверить сработало ли, то сначала ждёте посещение файлов аспро (корзины, form, error_log_logic.php и т.д), а потом проверяете наличие новых файлов через bash (на данный момент это новые файлы в папке ajax, а также новые index.php в самых разных директориях сайта, но потом этот принцип изменится скорее всего). Мне в этом помогает git на проекте. Можно какую-нибудь оповещалку заколхозить при попытке создания или изменения файлов проекта.

Цитата
Антон Иванов написал: А если такое проходит?45.142.122.46 - - [10/Feb/2025:04:09:45 +0300] "GET /form/index.php?form_id=TABLES_SIZE

Это аспро файл. К нему теперь всегда будут такие запросы приходить и ответ будет всегда 200 при любом раскладе пока у вас Аспро.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#103

10.02.2025 23:31:08

Цитата
написал: Это аспро файл. К нему теперь всегда будут такие запросы приходить и ответ будет всегда 200 при любом раскладе пока у вас Аспро.

Удалил его к чертям, как и ajax/form
Беглый тест ошибок пока не выявил

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#104

10.02.2025 23:35:57

Цитата
написал: а потом проверяете наличие новых файлов через bash (на данный момент это новые файлы в папке ajax, а также новые index.php в самых разных директориях сайта, но потом этот принцип изменится скорее всего).

Я же правильно понимаю, что например если в папке вирус что-то бы даже создал и удалил в корнях папок, то эта папка поменяла бы дату своего последнего изменения в этот момент? Через winSCP например это отображено. Или это не панацея, и могут ухитрится и поменять атрибуты даты:времени, замаскировавшись ?

Пользователь 2509633

Заглянувший

Сообщений: 2 Баллов: 1 Регистрация: 21.09.2018

#105

11.02.2025 00:05:47

Доброй ночи!
По поводу нового алгоритма взлома - если я правильно понял логику, то с помощью файла /ajax/error_log_logic.php создаётся лог-файл /ajax/js_error.txt, но внутри его содержимое - это вредоносный PHP.
А потом в файлах /ajax/form.php и /form/index.php с помощью GET-параметра "url" этот js_error.txt просто инклудится (и исполняется соответственно, раз уж внутри PHP).

У себя закрыл так:
1. В error_log_logic.php закомментировал AddMessage2Log (он нужен для какой-то отладки, на рабочем сайте не нужен).
2. В /ajax/form.php закомментировал следующую строчку (это сломает кастомные формы с $form_id = 'TABLES_SIZE', но я у себя только одну такую нашёл "Нашли дешевле", которая не используется). При желании можно не комментировать include, а сделать строгую проверку этого $url_sizes перед ним.

Код
<?include($_SERVER['DOCUMENT_ROOT'].$url_sizes);?>

3. В /form/index.php закомментировал такую же строчку соответственно.

Код
<?include('../'.$url_sizes);?>

Посмотрим, что будет...

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#106

11.02.2025 13:45:31

Цитата
написал: Увидел у себя подобное в логах. Видимо меня спасло, что права на папку ajax стояли 500. Поленился в свое время и после фикса уязвимостей не сменил обратно.

Защита может и хорошая, да вот только с такой настройкой не работает корзина от слова совсем, т.е. функционал сайта по сути критично поломан.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#107

11.02.2025 14:10:11

Цитата
написал: В /form/index.php /ajax/form.php

Так а за что вообще эти 2 файла отвечают, кто-то знает? Я оба эти файла киданул в архив и удалил с папок, функционал сайта вроде никак не поменялся.

/ajax/error_log_logic - а этого файла у меня вообще никогда и не было, скорее всего это и спасло от вчерашней утренней атаки

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#108

11.02.2025 14:21:22

Цитата
Антон Иванов написал: /ajax/form.php

У нас к этому файлу происходит обращение, когда пользователь кликает на кнопку "быстрый звонок", "получить консультацию". После этого пользователю выводится форма указания данных.

Цитата
/form/index.php

А это рудимент скорее всего. Код файла примерно аналогичен /ajax/form.php. Вероятно аспро забыл подчистить его из установочных файлов после другого разработчика (alexkova.market)

Пользователь 4418056

Заглянувший

Сообщений: 24 Баллов: 2 Регистрация: 09.07.2020

#109

11.02.2025 15:07:27

Цитата

написал:

Цитата

написал:
овость от 06.02.2025 по теме для решений от Аспро: Взломы сайтов на решениях Аспро: как обезопасить проект Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.Для проектов Аспро, снятых с поддержки, есть Патчер безопасности . Прямая ссылка на патчер: https://aspro.ru/upload/fixit.zip (распаковать в корень сайта, перейти по ссылке https://mydomain.com /fixit.php)Информация для исправления вручную: Общая информация по исправлению уязвимости unserialize ЦитатаРешениеДля исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].Пример:было: unserialize($_REQUEST["PARAMS"])стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])Обязательно проверить директории:/ajax//include//form//bitrix/components/aspro/Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.

!!!!!!!!!!!!! Ни в коем случае не запускайте данный патч в режиме исправления, если не хотите положить сайт !!!!!!!!!!
Только в режиме просмотра.
При исправлении там сплошные синтаксические ошибки, задвоения аргументов и т.п.

Я использовал этот патч, предварительно локально проверив его работу. У меня он ничего не поломал, применил на 3х сайтах, все ок.

Кто-то еще применял патч? После него были заражения?
Этот патч находит все файлы с уязвимым кодом и меняет его на

$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]);

Может еще что-то добавляет в аспрошных классах, там не смотрел.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#110

11.02.2025 16:50:51

Цитата

написал:
Я использовал этот патч, предварительно локально проверив его работу. У меня он ничего не поломал, применил на 3х сайтах, все ок.Кто-то еще применял патч? После него были заражения?Этот патч находит все файлы с уязвимым кодом и меняет его на $arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]); Может еще что-то добавляет в аспрошных классах, там не смотрел.

Скорее всего в новых версиях баг уже пофиксили. Самый 1ая версия патча клала сайт беспощадно.
Но сам я запускать его уже всё равно пока ещё не буду))) пусть настоится

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером