1С-Битрикс Разработчикам

Пользователь 6064 Заглянувший Сообщений: 8 Регистрация: 27.09.2006	#191 0 13.03.2025 09:00:42 А не подскажите, ставлю патч от Аспро и на всех страницах сайта стала вылазить авторизация.

Пользователь 290924

Заглянувший

Сообщений: 3 Регистрация: 20.07.2016

#192

13.03.2025 09:21:08

Цитата
написал: Тоже на проектах были установлены модули kda и esol, анализируем сейчас логи.

+Тоже на сайтах где нет аспро появились вирусы не могли понять откуда. Импорт\Экспорт от esol виновник как можно было такую дыру оставить. Уже не раз были вопросы к этому решению в плане производительности при запуске нескольких задач напрямую через системный крон. Что даже переделывали на агенты, если бы разработчик делал на них никаких бы проблем не было. Еще решение добавляет себя в исключение в модуле проактивной защиты, просто комбо....

Пользователь 1242163

Посетитель

Сообщений: 23 Баллов: 3 Регистрация: 30.06.2017

#193

13.03.2025 10:17:43

Цитата
написал: плюс появились попытки атак через новые файлы:/bitrix/admin/esol_allimportexport_cron_settings.php/bitrix/admin/esol_import_excel_cron_settings.php/bitrix/admin/esol_export_excel_cron_settings.php/bitrix/admin/kda_import_excel_cron_settings.php/bitrix/admin/kda_export_excel_cron_settings.php

вчера вышел патч от разработчика,
там помимо данных файлов еще закрывалась дыра в этом:

/bitrix/admin/esol_massedit_profile.php — это от другого их модуля

у кого установлен "Массовая обработка элементов инфоблока (товаров)" от ESOL — срочно проверяйте дыру!

судя по тому, что сегодня уже рано утром пошли попытки атак через POST-запрос к этому файлу,
мамкины хакеры возможно активно мониторят данную тему...

Код
POST /bitrix/admin/esol_massedit_profile.php HTTP/1.0" 403 GET /752a2abf61d7.php HTTP/1.1" 404

Пользователь 3255835 Заглянувший Сообщений: 2 Регистрация: 29.06.2019	#194 0 13.03.2025 11:32:26 Сергей, подскажите, какая именно была уязвимость? простого удаления файлов достаточно? а если нужен функционал?

Пользователь 23748

Гуру

Сообщений: 2783 Баллов: 452 Регистрация: 20.04.2008

АКРИТ Веб-студия

#195

13.03.2025 11:51:45

Вот в корне сайта файл с кодом, и список уязвимых модулей

$arFiles = array(
'/bitrix/modules/esol.allimportexport/admin/cron_settings.php',
'/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php',
'/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php',
'/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php',
'/bitrix/modules/esol.massedit/admin/profile.php',
'/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php',
'/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php',
);
$cnt = 0;
foreach($arFiles as $fn)
{
$fn = $_SERVER['DOCUMENT_ROOT'].$fn;
if(file_exists($fn))
{
$c = file_get_contents($fn);
if(stripos($c, '403 Forbidden')===false)
{
file_put_contents($fn, "<?if(isset(\$_REQUEST['path']) && strlen(\$_REQUEST['path']) > 0)
{
header((stristr(php_sapi_name(), 'cgi') !== false ? 'Status: ' : \$_SERVER['SERVER_PROTOCOL'].' ').'403 Forbidden');
die();
}
?>".preg_replace('/@exec\(\$phpPath.\' \-v\'/', '//$0', $c));
$cnt++;
}
}
}
unlink(__FILE__);

echo 'patched:'.$cnt.'.';

код патчит файлы админок

Веб-студия АКРИТ Увеличьте продажи трансформировав сайт в сеть торговых точек в интернете

Пользователь 23748 Гуру Сообщений: 2783 Баллов: 452 Регистрация: 20.04.2008 АКРИТ Веб-студия	#196 0 13.03.2025 11:57:12 вообще по хорошему если есть не обновленные модули то все надо обновить. Веб-студия АКРИТ Увеличьте продажи трансформировав сайт в сеть торговых точек в интернете

Пользователь 4276538 Заглянувший Сообщений: 2 Регистрация: 18.03.2022	#197 0 13.03.2025 14:35:27 Официоз: https://t.me/bitrixkiberbez/13

Пользователь 3713026

Заглянувший

Сообщений: 3 Регистрация: 19.12.2021

#198

13.03.2025 15:34:08

Всем привет! Снесите модули все через сервак от ROOT, вычистите код и мусор от модулей , заново поставьте, жертвуем только настройками и шаблонами этих модулей. Я пока снес все модули от этих разработчиков. С авторизацией стало странно, все доступы сменил. Подскажите в чем может быть проблема? На всякий случай закрыл админку с других IP

Прикрепленные файлы

входы в админку.jpg (16.31 КБ)

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#199

13.03.2025 15:42:18

привет всем.
несколько наработок, коллеги и владельцы сайтов - используйте:
1. Да, обновить все в любом случае (и битрикс и модули все).
2. сайт в гит целиком (кроме upload и еще некоторых) - тогда можно пока все дыры не заткнуты через git status git add . git reset —hard HEAD откатить вирусняк по крайней мере. gitignore скину сейчас
3. в init.php такой код (с правками от 11.04.2025):

Код

$cont = '';
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $cont = mb_strtolower(file_get_contents('php://input'));
} else {
    $cont = mb_strtolower($_SERVER['QUERY_STRING']);
}
$cont .= "\n";
if (function_exists('getallheaders')) {
    foreach (getallheaders() as $name => $value) {
        $cont .= $name . ':' . $value . "\n";
    }
}

if (strpos($cont, 'base64') !== false || strpos($cont, 'file_put_contents') !== false || strpos($cont, 'file_get_contents') !== false || strpos($cont, 'fwrite') !== false || (strpos($cont, 'action=getphpversion') !== false && strpos($cont, 'path=') !== false && strpos($cont, 'echo') !== false)) {
    die('Все, лесом ребята');
}

* 11.04.2025 - добавлена проверка существования функции getallheaders (иначе блокировался запуск агентов cron)
отрезает часть попыток.
* Сделали модуль защиты. На маркетплейсе - https://marketplace.1c-bitrix.ru/solutions/ammina.stopvirus/. Можно скачать на github по ссылке https://github.com/AmminaSolutions/ammina.stopvirus
Там же инструкция

4. Сделал автонастройщик и плагины под БУС для ISPManager (Debian 12 и Ubuntu 22.04) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins
Пока документация и статьи еще в процессе + жду PHP84 как у ISP из беты выйдет. Но можно использовать. Там файлик есть для nginx (с форума битрикса доработанные правила, часть тоже отрезает из хакеров) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins/blob/main/core/files/server/etc/nginx/v...

.gitignore кому нужен:
/.idea/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/html_pages/
/bitrix/tmp/
/bitrix/updates/
/bitrix/backup/
/upload/
/stats/
/logs/
/bitrix/.settings.php
/bitrix/error.log
/bitrix/modules/updater.log
/bitrix/modules/updater_partner.log
/bitrix/modules/install.log
/bitrix/modules/xmppd.log
/bitrix/site_checker_*.log
/log.txt
*.log
/xmpp_dump_*
/local/cron-run/*
/local/tmp/
/local/php_interface/cron/manual.load.catalog/files/
/robots.txt
/sitemap.xml
/sitemap_*.xml
/google*.html
/yandex*.html
/yandex*.txt
/bitrix/catalog_export/
/bitrix/modules/statistic/ip2country/cidr_optim.txt
/bitrix/modules/statistic/ip2country/cities.txt
/bitrix/ammina/
/bitrix/ammina.cache/
/seofiles/
/local/cron/system/cron-run/
/bitrix/modules/statistic/ip2country/GeoLite2-City.zip
/bitrix/modules/statistic/ip2country/GeoLite2-City.csv
/bitrix/error.log.old
*.zip
*.txt
*.log
*.xml

И при загрузке кстати репы на компьютер с касперским он часть кода тоже определяет вирусного. но не все

5. Бэкапы!Бэкапы!Бэкапы! Сегодня появился еще вирус - все файлы php заменяет и ничего не сделать - только бэкап. Можно нашим модулем на яндекс диск https://marketplace.1c-bitrix.ru/ammina.backup . Настраивайте ежедневное копирование и храните копий 5 хотя бы. можно несколько схем - базу+полный+без папки upload, ежедневный за неделю хранить, еженедельный - месяца за 2-3. Чтото да восстановите если совсем плохо будет.

Upd.
Оказываем услугу по очистке сайтов от вирусов. Обращайтесь на почту support@ammina.ru . Стоимость зависит от сложности. обычно от 12 до 20 тр.

Про вирус | Модуль защиты

Пользователь 11497 Посетитель Сообщений: 41 Баллов: 7 Регистрация: 01.05.2007	#200 0 13.03.2025 16:17:58 Может кто-то собрать полный список уязвимых файлов, которые нужно патчить? Потому, что кроме тех файлов, которые указаны в статьях на сайте Аспро есть еще файлы, которые там не указаны, но которые тоже необходимо патчить. https://aspro.ru/news/vzlomy-saytov-aspro/ Вот здесь например есть несколько дополнительных уязвимых файлов: https://rushstudio.by/blog/razrabotchiku/novaya-volna-virusov-na-bitriks-v-2025-godu/

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером