Разработчикам

Форум

Заражение сайтов

Пользователь 7585474

Заглянувший

Сообщений: 19 Баллов: 2 Регистрация: 26.09.2023

#211

14.03.2025 13:31:41

Цитата

написал:

В целом проблема уязвимостей в коде - это ответственность не пользователей и даже не разработчиков модулей, а Битрикса, т.к. модули распространяются через Маркетплейс Битрикса и при размещении модулей Битрикс обязан проверять их на уязвимости и гарантировать отсутствие уязвимостей в коде модулей перед пользователями. Если какие-то уязвимости не были обнаружены до размещения модуля в Маркетплейсе, то это прежде всего косяк самого Битрикса. Именно Битрикс должен предпринимать все меры по решению возникших проблем, а не самоустраняться от их решения или переводить стрелки на разработчиков модулей.

Проблема уязвимостей в коде - это проблема конечного пользователя. Все отношения пользователя и разработчика ПО описываются в соответствующем документе. Это раз. Второе, насчет сторонних разрабов - Внимание! Компания "1С-Битрикс" не несет ответственности за разработки партнеров. По всем вопросам, связанным с работой сторонних решений, а также в случаях нарушения работы сайта, вызванного некорректной работой сторонних решений, обращайтесь к партнерам-разработчикам.
Нельзя в подобных системах как Битрикс, в котором под капотом жуткое легаси - провести 100%-е код-ревью на абсолютно все уязвимости, как вы это не поймете. А уж детские ошибки в коде от АСПРО - ну это показатель квалификации их разрабов. не бывает абсолютно безопасного ПО, запомните.
В общем, спасение утопающих - дело рук их самих.

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#212

14.03.2025 14:44:38

Цитата

написал:
привет всем.
несколько наработок, коллеги и владельцы сайтов - используйте:
1. Да, обновить все в любом случае (и битрикс и модули все).
2. сайт в гит целиком (кроме upload и еще некоторых) - тогда можно пока все дыры не заткнуты через git status git add . git reset —hard HEAD откатить вирусняк по крайней мере. gitignore скину сейчас
3. в init.php такой код:

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false){
die('Все, лесом ребята');
}
}
отрезает часть попыток.

4. Сделал автонастройщик и плагины под БУС для ISPManager (Debian 12 и Ubuntu 22.04) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins
Пока документация и статьи еще в процессе + жду PHP84 как у ISP из беты выйдет. Но можно использовать. Там файлик есть для nginx (с форума битрикса доработанные правила, часть тоже отрезает из хакеров) - https://github.com/AmminaSolutions/ispmanager.ammina.plugins/blob/main/core/files/server/etc/nginx/v...

.gitignore кому нужен:
/.idea/
/bitrix/cache/
/bitrix/managed_cache/
/bitrix/stack_cache/
/bitrix/html_pages/
/bitrix/tmp/
/bitrix/updates/
/bitrix/backup/
/upload/
/stats/
/logs/
/bitrix/.settings.php
/bitrix/error.log
/bitrix/modules/updater.log
/bitrix/modules/updater_partner.log
/bitrix/modules/install.log
/bitrix/modules/xmppd.log
/bitrix/site_checker_*.log
/log.txt
*.log
/xmpp_dump_*
/local/cron-run/*
/local/tmp/
/local/php_interface/cron/manual.load.catalog/files/
/robots.txt
/sitemap.xml
/sitemap_*.xml
/google*.html
/yandex*.html
/yandex*.txt
/bitrix/catalog_export/
/bitrix/modules/statistic/ip2country/cidr_optim.txt
/bitrix/modules/statistic/ip2country/cities.txt
/bitrix/ammina/
/bitrix/ammina.cache/
/seofiles/
/local/cron/system/cron-run/
/bitrix/modules/statistic/ip2country/GeoLite2-City.zip
/bitrix/modules/statistic/ip2country/GeoLite2-City.csv
/bitrix/error.log.old
*.zip
*.txt
*.log
*.xml

И при загрузке кстати репы на компьютер с касперским он часть кода тоже определяет вирусного. но не все

5. Бэкапы!Бэкапы!Бэкапы! Сегодня появился еще вирус - все файлы php заменяет и ничего не сделать - только бэкап. Можно нашим модулем на яндекс диск https://marketplace.1c-bitrix.ru/ammina.backup . Настраивайте ежедневное копирование и храните копий 5 хотя бы. можно несколько схем - базу+полный+без папки upload, ежедневный за неделю хранить, еженедельный - месяца за 2-3. Чтото да восстановите если совсем плохо будет.

Корректировка по пп3 после вчерашних атак:

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || (strpos($cont,'action=getphpversion')!==false && strpos($cont,'path=')!==false && strpos($cont,'echo')!==false) ){
die('Все, лесом ребята');
}
}

20 часов - полет нормальный.

Про вирус | Модуль защиты

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#213

15.03.2025 00:16:14

Цитата

написал:

Цитата
3. в init.php такой код: if ($_SERVER['REQUEST_METHOD'] == 'POST'){ $cont=mb_strtolower(file_get_contents('php://input')); if (strpos($cont,'base64_decode') !== false \|\| strpos($cont,'file_put_contents') !== false \|\| strpos($cont,'file_get_contents') !== false \|\| strpos($cont,'fwrite') !== false){ die('Все, лесом ребята'); } }

Алексей, Подскажите, этот код надо вставлять в bitrix/php_interface/init.php?
А какие то классы, модули подключать надо?
У меня на все куски коды там всегда вначале идет что-то вроде:

Код
AddEventHandler('catalog', 'OnBeforeCatalogStoreUpdate', 'storeUpdateHandler');

и тд

Пользователь 39589

Заглянувший

Сообщений: 3 Регистрация: 31.01.2017

#214

15.03.2025 08:29:39

Просто в самом начале скрипта init.php добавьте этот код. Я еще перед die() добавил логирование в файл. И в настройках Проактивного фильтра в битриксе включил блокировать IP адреса. И в итоге ИП адрес заблокированный совпадает с ИП адресом в лог-файле попыток взлома.

Пользователь 124836

Заглянувший

Сообщений: 3 Регистрация: 05.04.2012

#215

15.03.2025 08:56:00

Цитата

написал:
привет всем.
несколько наработок, коллеги и владельцы сайтов - используйте:

...

3. в init.php такой код:

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false){
die('Все, лесом ребята');
}
}
отрезает часть попыток.

...

5. Бэкапы!Бэкапы!Бэкапы! Сегодня появился еще вирус - все файлы php заменяет и ничего не сделать - только бэкап. Можно нашим модулем на яндекс диск https://marketplace.1c-bitrix.ru/ammina.backup . Настраивайте ежедневное копирование и храните копий 5 хотя бы. можно несколько схем - базу+полный+без папки upload, ежедневный за неделю хранить, еженедельный - месяца за 2-3. Чтото да восстановите если совсем плохо будет.

Спасибо!

3п - добавил проверку get:

Код

// minimal check
if ($_SERVER['REQUEST_METHOD'] == 'POST'){
   $checkContent=mb_strtolower(file_get_contents('php://input'));
}else{
   $checkContent=mb_strtolower($_SERVER['QUERY_STRING']);
}

if($checkContent){
   if (strpos($checkContent,'base64_decode') !== false || strpos($checkContent,'file_put_contents') !== false || strpos($checkContent,'file_get_contents') !== false || strpos($checkContent,'fwrite') !== false){
      die('Virus check detector');
   }
}

5п - максимально поддерживаю. Хоть это и какие то доп. расходы и трудозатраты - наличие бэкапов обязательно. Так же рекомендую переодически (хотя бы раз в пол года) - делать бэкап и скачивать на свой компьютер, в дополнение к имеющимся системам.

+ Доп. заметка от меня:
Патчер аспро подходит не только для аспро, а для всех, хорошо ищет уязвимости unserialize для любых файлов.

Так же при чистке от вируса проверяйте крон, плюс перезагружайте сервер. Вирус залезает в процессы сервера.

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#216

15.03.2025 12:05:33

Цитата

написал:

Цитата

написал:

Цитата
3. в init.php такой код: if ($_SERVER['REQUEST_METHOD'] == 'POST'){ $cont=mb_strtolower(file_get_contents('php://input')); if (strpos($cont,'base64_decode') !== false \|\| strpos($cont,'file_put_contents') !== false \|\| strpos($cont,'file_get_contents') !== false \|\| strpos($cont,'fwrite') !== false){ die('Все, лесом ребята'); } }

Код
AddEventHandler( 'catalog' , 'OnBeforeCatalogStoreUpdate' , 'storeUpdateHandler' );

и тд

Добрый день. да, в начало /bitrix/php_interface/init.php (либо если в папке local он - туда).
Только версия кода чуть другая:
if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || strpos($cont,'action=getphpversion')!==false){
die('Все, лесом ребята');
}

}
Либо дополнительно с корректировкой предложенной Артур Голубев, :

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
$cont=mb_strtolower(file_get_contents('php://input'));
}else{
$cont=mb_strtolower($_SERVER['QUERY_STRING']);
}

if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false || strpos($cont,'action=getphpversion')!==false){
die('Все, лесом ребята');
}

только по ftp файл редактируйте, т.к. через браузер и редактор файлов битрикса он уже не отредактируется - отсечка пойдет данным кодом.

Про вирус | Модуль защиты

Пользователь 6537570

Постоянный посетитель

Сообщений: 87 Баллов: 15 Регистрация: 10.10.2022

#217

15.03.2025 19:49:20

Данные правила имеет смысл добавлять на обновленный битрикс? Вроде блкоирует подобное.. .

Код

if ($query_string ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {
    return 403; # Deny access with HTTP status 403
}

if ($http_referer ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {
    return 403; # Deny access with HTTP status 403
}

if ($request_body ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {
    return 403; # Deny access with HTTP status 403
}

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#218

15.03.2025 20:41:32

Александр Каменский, если блокирует битрикс/аспро - хорошо. но по мне - лучше перестраховаться всем чем можно. Спасение утопающих...

Выше писал - клиенту повезло очень что база данных большая у сайта и был бэкап сделан, т.к. вирус зашифровал все файлы и удалил первый файл бэкапа.
Бэкап восстановили, но поврежденный. в поврежденной части только дамп базы был. Иначе клиенту пришлось бы сайт с 0 делать. там на аспро был а импорт из экселя модуль - через него заходили.

Поэтому лучше все что написал сделать - и правило nginx и код в init.php и обязательно бэкапы, которые не на сервере сайта хранить а на удаленном хранилище + локально копию.
Это дешевле чем с 0 все делать.

Про вирус | Модуль защиты

Пользователь 11497

Посетитель

Сообщений: 41 Баллов: 7 Регистрация: 01.05.2007

#219

16.03.2025 12:28:56

Цитата

написал:
Нельзя в подобных системах как Битрикс, в котором под капотом жуткое легаси - провести 100%-е код-ревью на абсолютно все уязвимости, как вы это не поймете. А уж детские ошибки в коде от АСПРО - ну это показатель квалификации их разрабов. не бывает абсолютно безопасного ПО, запомните.В общем, спасение утопающих - дело рук их самих.

Как зарабатывать на партнерах - то это всегда пожалуйста, а как разбираться с уязвимостями - то "спасение утопающих дело рук самих утопающих". Удобная позиция, безусловно. Старый принцип - "национализация убытков, приватизация прибылей".

Пользователь 4505760 Заглянувший Сообщений: 3 Регистрация: 10.08.2020	#220 0 17.03.2025 01:38:18 Коллеги, подскажите. После патчера аспро и удаления папок с кешем, везде начало вылетать окно авторизации пользователя. Как лечить? p.s Всю алгоритмику из топика по чистке так же провел.. p.s.p.s заражение было - все как в это топике.. созданные файлы 9y754543.php, файлы в ajax - _fly и т.д

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером