1С-Битрикс Разработчикам

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#151

28.02.2025 13:08:08

Цитата
написал: Да, js_error.txt отсутствовал.

да, если есть дыра, то его удаляют сами вредоносные команды!
посмотрите лог, там в конце длинных строк идет удаление этого файла:

Код
DY1Il0pO319Pz4K%22));unlink($_SERVER[%22DOCUMENT_ROOT%22].%22/ajax/js_error.txt%22);

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#152

28.02.2025 13:13:27

Цитата
написал: проверьте у себя наличие файлов: /ajax/error_log_logic.php /ajax/js_error.php

Да, я видел ваш пост на предыдущей странице. Но данных файлов у меня на сервере нет.

В логах видел попытки обращения к ним со статусом 404.

Похоже появился третий способ записи в js_error.txt - через Referer ))

Сейчас буду экспериментировать сам с этими запросами

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#153

28.02.2025 13:24:19

Цитата
написал: Добрый день! А что значит запускать в режиме просмотра?

ВАЖНО!
Если патчер спрашивает "запускать в режиме просмотра", то скорее-всего у Вас ранняя версия патчера, он проверяет только дыру с unserialize.

В последней версии патчера такой галочки нет.
Отдельно кнопки:
- Сканировать
- Удалить скрипт
- Исправить выбранные

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#154

28.02.2025 13:28:01

Цитата
написал: Похоже появился третий способ записи в js_error.txt - через Referer ))

блин! и интересно и тревожно, поделитесь потом результатами обязательно?

а в файлах /ajax/form.php или /form/index.php
дыра закрыта у Вас была?

вместо:
elseif($form_id === 'TABLES_SIZE'):

так:
elseif($form_id === 'TABLES_SIZE' && false):

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#155

28.02.2025 13:35:53

в /form/index.php да, исправлено.
В /ajax/form.php строка чуть другая:

Код
<?elseif($form_id == 'TABLES_SIZE' && $url_sizes):?>

Заменить $url_sizes на false??

попробовал, сайт не сломался, буду мониторить...

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#156

28.02.2025 14:01:23

Цитата
написал: Заменить $url_sizes на false??

про $url_sizes не подскажу,
но у Аспро в патчере так:

Код

                'patch_files' => [
                    '/form/index.php' => [
                        [
                            '<?elseif($form_id == \'TABLES_SIZE\'):?>',
                        ],
                        '<?// Don\'t use it! Update the module!?>'."\n".'<?elseif($form_id == \'TABLES_SIZE\' && false):?>',
                    ],
                    '/ajax/form.php' => [
                        [
                            '<?elseif($form_id === \'TABLES_SIZE\'):?>',
                            '<?elseif($form_id == \'TABLES_SIZE\'):?>',
                        ],
                        '<?// Don\'t use it! Update the module!?>'."\n".'<?elseif($form_id == \'TABLES_SIZE\' && false):?>',
                    ],
                ],

и дополнительно проверка, что данные файлы небезопасные:

Код
{ if (false !== strpos($content, 'file_exists($url_sizes)')) { break; }

типа, если в этих файлах есть код "file_exists($url_sizes)", то файл уже пропатчен и форму можно не отключать.

но мы тупо сразу отключили данный вариант через добавление "&& false",
если правильно понял — это возможность использования собственных кастомных форм, код которых хранится в отдельных инклюд-файлах.скорее-всего это мало кто использовал, мы точно нет.

сама дыра была в том, что через эти формы "TABLES_SIZE" можно было загружать инклюду из файла в любой дерриктории, в т.ч. текущей, чем и пользовались негодяи — подгружая js_error.txt из текущей директории,или, возможно как пишете Вы, с удаленного сервера (???).

после закрытия дыры, инклюду можно загружать только при условии, что она обязательно лежит строго на сервере и в папке /include/

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#157

28.02.2025 14:26:31

Посмотрел код /ajax/form.php до патча - там была строка

Код
<?elseif($form_id == 'TABLES_SIZE' && $url_sizes):?>

Понятно, почему патчер её не смэтчил.

UPD: вижу в логах две попытки атаки - ~в 18:00 и 21:00, но файлы создать не удалось негодяям. Хороший признак)
На всякий набросал в cron скрипт - каждые 15 мин. мониторю создание .php файлов в папке сайта, если вдруг что подозрительное появится, в телегу алерт придёт.

Пользователь 4345922

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.06.2020

#158

28.02.2025 23:51:11

нда, в cron задачах появилось:

Код
/5 * * * /usr/bin/perl /var/tmp/VMpPcHsZB >/dev/null 2>&1 /6 * * * perl /var/tmp/VMpPcHsZB >/dev/null 2>&1

самого файла /var/tmp/VMpPcHsZB не существует, в логах вхождение "VMpPcHsZB" не грепается

Что за напасть такая...

Пользователь 31100

Заглянувший

Сообщений: 5 Регистрация: 13.10.2008

#159

03.03.2025 18:03:43

Проверьте файл siteheads.php очень много
Сейчас вроде пока тишина.
1. Почистил index.php и bitrix/footer.php там был код.
2. Удалил все .htaccess (25 штук). Создал базовый набор средствамии битрикс.
3. Сканером проверил все файлы, удалил кучу файлов вида sdfsf654654.php
4. Прогнал файлом fixit.php скачал последнюю версию. ( у меня Аспро Максимум) было 30 ошибок - исправил скрипт, ошибок в работе сайта нет.
5. удалил все siteheads.php - более 20
6. В бан загнал: 45.142.122.46
7. Проверил все агенты - пусто, подозрений нет.
8. Заодно снес все php.ini в каталогах - более 10 штук.

Пользователь 31100 Заглянувший Сообщений: 5 Регистрация: 13.10.2008	#160 0 03.03.2025 18:20:43 И да, сканером битрикс проверил куча файлов с типом опасности no_prolog/ Все что были, в карантин поставил. Вроде пока норм

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером