1С-Битрикс Разработчикам

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#181

12.03.2025 10:41:27

еще один момент,в последнее время попытки атак идут преимущественно с серверов AEZA
сегодня атаковали все сайты по несколько раз с IP — 85.192.30.151 (AEZA RU)

правильно понимаю, что можно смело банить все подсети AEZA?
вероятность, что это реальный посетитель минимальна, разве что кто поднял там собственный VPN и серфит интернет через него

или все сложней? кто вникал в вопрос?
и где можно в онлайне актуальный список всех статей AEZA посмотреть?

UPD.
список подсейтей они сами отдают, ссылку можно через whois посмотреть — https://aeza.net/static/ipv4_f.csv

Пользователь 182977 Посетитель Сообщений: 43 Баллов: 6 Регистрация: 26.09.2013	#182 0 12.03.2025 11:06:04 Можно AEZA написать на abuse@aeza.net с жалобой на атаки с их серверов, но это временная мера.

Пользователь 6537570 Постоянный посетитель Сообщений: 87 Баллов: 15 Регистрация: 10.10.2022	#183 0 12.03.2025 11:34:15 Евгений Иванкин, AEZA тот самый хостинг который все эти жалобы игнорирует. Не первый год уже что атаки происходят через них

Пользователь 1148455

Заглянувший

Сообщений: 6 Регистрация: 16.05.2017

#184

12.03.2025 12:40:20

Цитата
написал: написали разработчикам уже, попросили прокомментировать ситуацию, физически разработчик у решения один, как я понимаю

Дали ответ?

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#185

12.03.2025 15:46:54

Коллеги всем привет! обнаружил как вычистить шелы? тоже подхватили заразу в папке ajax, три файла
/ajax/reload_basket_fly.php
/ajax/show_basket_fly.php
/ajax/show_basket_popup.php
До этого делал вычищал крякозябры с php в той же папке, файл txt тоже там лежал! Зараза пошла после того как провели парсинг через вышеуказанные модули от kda и esol. Пробывал принудительно удалять файлы скриптов и форм, по папкам сайт простоял ночь.
Еще на заметку: Срабатывание атаки в модуле защиты на капчу ( стоит гугл v3) , думаю зараза шла через формы. Потому как после всего это началась эта эпопея и спустя 2 дня появились эти файлы в аякс

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#186

12.03.2025 15:53:11

Цитата

написал:
Коллеги всем привет! обнаружил как вычистить шелы? тоже подхватили заразу в папке ajax, три файла
/ajax/reload_basket_fly.php
/ajax/show_basket_fly.php
/ajax/show_basket_popup.php
До этого делал вычищал крякозябры с php в той же папке, файл txt тоже там лежал! Зараза пошла после того как провели парсинг через вышеуказанные модули от kda и esol. Пробывал принудительно удалять файлы скриптов и форм, по папкам сайт простоял ночь.
Еще на заметку: Срабатывание атаки в модуле защиты на капчу ( стоит гугл v3) , думаю зараза шла через формы. Потому как после всего это началась эта эпопея и спустя 2 дня появились эти файлы в аякс

вот так ругалась защита

Прикрепленные файлы

Ошибки.png (366.79 КБ)

Пользователь 529315

Заглянувший

Сообщений: 3 Регистрация: 18.03.2016

#187

12.03.2025 17:29:05

Добрый день.
Про взлом сегодня, где модули kda и esol

Согласно логам, обращение идет к
/bitrix/admiin/esol_allimportexport_cron_settings.php

Пример
85.192.30.151 - - [12/Mar/2025:04:50:59 +0300 - 0.002] 200 "GET /c2c3bfdcd4a3.php HTTP/1.1" 7 "САЙТ/bitrix/admin/esol_allimportexport_cron_settings.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2943.54 Safari/537.36" "-"

Также
/bitrix/admin/esol_import_xml_cron_settings.php

/bitrix/admin/kda_export_excel_cron_settings.php

Сегодня разработчики выложили патчер на странице модуля в маркетплейс https://marketplace.1c-bitrix.ru/solutions/esol.importexportexcel/

Пользователь 7476878 Заглянувший Сообщений: 1 Регистрация: 08.08.2023	#188 0 12.03.2025 21:24:39 Взломщики уже увидели патчер от esol, закрывают этот файл для записи и добавляют в начало файла строку "<?php // 403 Forbidden ?>". Из-за чего патчер не исправляет файлы.

Пользователь 1315563

Заглянувший

Сообщений: 5 Регистрация: 28.02.2023

#189

13.03.2025 00:33:47

Цитата
написал: список подсейтей они сами отдают, ссылку можно через whois посмотреть — https://aeza.net/static/ipv4_f.csv

Чат гпт даже быстренько накидал файл для добавления всего этого диапазона в бан на уровне сервера.
Загружаем на север, меняем расширение на sh, делаем исполнительным, запускаем.

UPD: файлик не прикрепился, вот текст:

Код

#!/bin/bash

# Список IP-адресов
IPS=(
45.15.158.0/24
45.142.122.0/24
185.17.0.0/24
185.112.83.0/24
185.174.136.0/24
185.229.66.0/24
194.26.229.0/24
85.192.56.0/24
45.138.74.0/24
77.73.131.0/24
78.153.130.0/24
185.106.94.0/24
212.113.106.0/24
212.113.119.0/24
5.252.118.0/24
45.15.159.0/24
79.137.194.0/23
79.137.196.0/22
79.137.204.0/23
85.192.40.0/23
176.124.198.0/23
185.229.65.0/24
79.137.202.0/23
79.137.207.0/24
85.192.63.0/24
89.185.85.0/24
212.113.116.0/24
77.91.78.0/24
79.137.206.0/24
79.137.248.0/24
80.85.241.0/24
185.174.137.0/24
77.91.84.0/22
89.208.104.0/22
89.208.103.0/24
193.233.232.0/24
193.233.233.0/24
77.105.146.0/23
94.228.168.0/24
94.228.169.0/24
45.15.157.0/24
193.233.133.0/24
81.19.137.0/24
94.228.162.0/24
94.228.163.0/24
94.228.164.0/23
77.91.70.0/24
178.236.246.0/23
194.67.201.0/24
95.181.173.0/24
109.107.181.0/24
77.232.142.0/23
109.107.190.0/24
5.182.86.0/24
5.182.87.0/24
109.107.189.0/24
217.196.98.0/24
217.196.103.0/24
217.197.107.0/24
94.142.138.0/24
91.103.252.0/23
77.105.166.0/24
77.105.167.0/24
185.225.200.0/24
185.225.201.0/24
217.196.106.0/23
91.108.240.0/24
91.108.241.0/24
185.217.197.0/24
92.246.136.0/24
92.246.137.0/24
92.246.138.0/24
92.246.139.0/24
147.45.40.0/24
147.45.41.0/24
147.45.42.0/24
147.45.43.0/24
147.45.68.0/24
147.45.69.0/24
147.45.70.0/24
147.45.71.0/24
147.45.72.0/23
147.45.74.0/23
147.45.76.0/23
147.45.78.0/23
46.226.160.0/23
46.226.162.0/23
46.226.166.0/23
77.221.136.0/22
77.221.140.0/22
176.124.220.0/24
176.124.221.0/24
109.120.184.0/23
109.120.186.0/24
109.120.187.0/24
77.221.152.0/23
77.221.154.0/23
77.221.156.0/23
77.221.158.0/23
89.169.52.0/23
89.169.54.0/23
109.120.176.0/23
109.120.178.0/23
77.221.149.0/24
109.120.132.0/23
109.120.134.0/23
109.120.156.0/23
212.113.100.0/24
212.113.101.0/24
212.113.102.0/24
212.113.103.0/24
193.233.114.0/23
185.230.143.0/24
185.197.74.0/24
193.188.20.0/24
193.188.21.0/24
77.221.151.0/24
109.120.155.0/24
109.120.152.0/24
194.113.106.0/24
193.188.22.0/24
46.226.164.0/23
77.221.148.0/24
185.106.93.0/24
109.120.150.0/24
109.120.151.0/24
89.22.224.0/21
77.91.77.0/24
109.237.99.0/24
176.124.222.0/24
91.103.140.0/24
193.33.153.0/24
109.237.98.0/24
85.192.60.0/24
85.192.61.0/24
89.208.96.0/24
89.208.97.0/24
89.22.232.0/21
217.144.184.0/24
217.144.185.0/24
217.144.186.0/24
217.144.187.0/24
217.144.188.0/24
217.144.189.0/24
217.144.190.0/24
217.144.191.0/24
78.153.136.0/24
185.125.100.0/24
185.125.101.0/24
185.125.102.0/24
85.192.42.0/24
176.124.202.0/24
176.124.203.0/24
89.169.32.0/23
89.169.34.0/23
176.124.204.0/24
176.124.205.0/24
176.124.206.0/24
176.124.207.0/24
194.87.85.0/24
195.133.18.0/24
195.133.26.0/24
212.192.246.0/24
212.192.248.0/24
212.193.31.0/24
91.184.240.0/24
91.184.241.0/24
91.184.242.0/24
91.184.243.0/24
193.124.203.0/24
194.87.77.0/24
194.87.189.0/24
195.133.28.0/24
195.133.2.0/24
194.87.29.0/24
109.120.138.0/24
109.120.139.0/24
109.120.140.0/24
185.125.230.0/24
185.128.104.0/24
178.236.244.0/24
85.192.24.0/24
85.192.25.0/24
85.192.26.0/24
85.192.27.0/24
95.181.167.0/24
95.181.174.0/24
95.181.175.0/24
185.221.196.0/24
193.232.178.0/24
194.226.169.0/24
95.181.160.0/24
95.181.162.0/24
62.60.154.0/24
62.60.155.0/24
62.60.156.0/24
62.60.157.0/24
62.60.158.0/24
62.60.159.0/24
62.60.236.0/24
62.60.237.0/24
62.60.238.0/24
62.60.239.0/24
62.60.216.0/24
62.60.217.0/24
82.117.87.0/24
109.172.94.0/24
109.172.95.0/24
150.241.64.0/24
150.241.65.0/24
150.241.66.0/24
150.241.67.0/24
150.241.68.0/24
150.241.69.0/24
150.241.70.0/24
150.241.71.0/24
150.241.72.0/24
150.241.73.0/24
150.241.74.0/24
150.241.75.0/24
150.241.76.0/24
150.241.77.0/24
150.241.78.0/24
150.241.79.0/24
150.241.80.0/24
150.241.81.0/24
150.241.82.0/24
150.241.83.0/24
150.241.84.0/24
150.241.85.0/24
150.241.86.0/24
150.241.87.0/24
150.241.88.0/24
150.241.89.0/24
150.241.90.0/24
150.241.91.0/24
150.241.92.0/24
150.241.93.0/24
150.241.94.0/24
150.241.95.0/24
150.241.96.0/24
150.241.97.0/24
150.241.98.0/24
150.241.99.0/24
150.241.100.0/24
150.241.101.0/24
150.241.102.0/24
150.241.103.0/24
85.192.28.0/24
85.192.29.0/24
85.192.30.0/24
85.192.31.0/24
185.125.103.0/24
213.108.21.0/24
213.108.22.0/24
213.108.23.0/24
62.60.244.0/24
62.60.245.0/24
95.163.152.0/24
95.163.153.0/24
79.137.184.0/24
85.192.37.0/24
62.60.246.0/24
213.108.20.0/24
62.60.247.0/24
62.60.248.0/24
62.60.249.0/24
62.60.250.0/24
62.60.251.0/24
178.20.209.0/24
62.60.152.0/24
62.60.153.0/24
178.20.208.0/24
45.150.32.0/24
45.150.33.0/24
62.60.148.0/24
62.60.149.0/24
62.60.150.0/24
62.60.151.0/24
79.137.192.0/24
213.176.64.0/24
213.176.65.0/24
213.176.66.0/24
213.176.67.0/24
138.124.124.0/24
138.124.127.0/24
62.60.228.0/24
62.60.229.0/24
213.176.93.0/24
213.176.94.0/24
62.60.230.0/24
62.60.231.0/24
213.176.92.0/24
213.176.95.0/24
213.176.74.0/24
213.176.75.0/24
91.186.216.0/24
91.186.217.0/24
91.186.218.0/24
91.186.219.0/24
138.124.18.0/24
138.124.24.0/24
138.124.25.0/24
138.124.26.0/24
138.124.29.0/24
138.124.34.0/24
138.124.35.0/24
138.124.49.0/24
138.124.123.0/24
138.124.50.0/24
138.124.51.0/24
138.124.52.0/24
138.124.53.0/24
138.124.54.0/24
138.124.55.0/24
138.124.58.0/24
138.124.59.0/24
138.124.78.0/24
138.124.89.0/24
138.124.90.0/24
138.124.91.0/24
138.124.92.0/24
138.124.93.0/24
138.124.60.0/24
138.124.99.0/24
138.124.101.0/24
138.124.13.0/24
103.71.22.0/24
138.124.14.0/24
138.124.102.0/24
138.124.103.0/24
138.124.108.0/24
138.124.109.0/24
138.124.110.0/24
138.124.112.0/24
138.124.113.0/24
138.124.114.0/24
138.124.115.0/24
138.124.116.0/24
138.124.117.0/24
138.124.118.0/24
138.124.119.0/24
138.124.61.0/24
62.60.186.0/24
62.60.235.0/24
103.71.23.0/24
83.147.253.0/24
94.228.170.0/24
77.91.76.0/24
83.147.254.0/24
83.147.252.0/24
103.249.132.0/24
103.249.133.0/24
103.249.134.0/24
103.249.135.0/24
83.147.255.0/24
83.147.216.0/24
104.238.29.0/24
178.253.55.0/24
85.192.38.0/24
89.208.113.0/24
95.163.176.0/24
85.239.144.0/24
85.239.146.0/24
85.239.147.0/24
85.239.149.0/24
85.239.151.0/24
185.95.156.0/24
185.95.159.0/24
192.109.200.0/24
192.109.139.0/24
77.239.124.0/24
91.92.35.0/24
91.92.40.0/24
91.92.42.0/24
91.92.43.0/24
77.239.96.0/24
77.239.97.0/24
77.239.98.0/24
77.239.99.0/24
77.239.100.0/24
77.239.101.0/24
77.239.102.0/24
77.239.103.0/24
77.239.112.0/24
77.239.113.0/24
77.239.114.0/24
77.239.125.0/24
45.134.12.0/24
77.239.115.0/24
77.239.116.0/24
77.239.117.0/24
77.239.118.0/24
77.239.119.0/24
77.239.120.0/24
77.239.121.0/24
77.239.122.0/24
77.239.123.0/24
213.176.112.0/24
213.176.113.0/24
213.176.114.0/24
213.176.115.0/24
45.144.54.0/23
194.33.34.0/24
193.29.224.0/24
193.29.225.0/24
91.186.212.0/24
91.186.213.0/24
194.33.35.0/24
83.147.192.0/24
# Добавь оставшиеся IP-адреса сюда
)

# Применение правил
for ip in "${IPS[@]}"; do
    iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $ip -p tcp --dport 443 -j DROP
done

# Сохранение правил
iptables-save > /etc/iptables/rules.v4

echo "IP-адреса успешно заблокированы."

Если просто копировать текст - то в notepad++ или аналогичном редакторе надо будет для файла поменять перенос строки на LF, чтоб на *nix машинках адекватно работал как исполняемый

Пользователь 182977

Посетитель

Сообщений: 43 Баллов: 6 Регистрация: 26.09.2013

#190

13.03.2025 03:26:25

Цитата

написал:

Цитата
написал: написали разработчикам уже, попросили прокомментировать ситуацию, физически разработчик у решения один, как я понимаю

Дали ответ?

Да, подтвердили уязвимость в старых версиях своих модулей, в 2023 году обновлением были закрыты эти уязвимости.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером