1С-Битрикс Разработчикам

Заглянувший

Сообщений: 5 Регистрация: 28.02.2023

#221

17.03.2025 14:51:32

Цитата
написал: После патчера аспро и удаления папок с кешем, везде начало вылетать окно авторизации пользователя.

Сайт все еще заражен, подмена основного .htaccess + вирусные .htaccess в каждой папке
В топике выше уже писали как личить, повторю еще раз:
- удаляем .htaccess из папок bitrix и bitrix/admin и идем в "Настройки - Проактивная защита - Поиск троянов - Проверка .htaccess (https://ваш_сайт/bitrix/admin/xscan_htaccess.php) там можем сразу нажать "удалить все и установить минимальный набор"
После этого уже привести в порядок основной .htaccess в корне сайта (или просто скопировать из резерва его.

P.s. при этом остальные следы заражения на сайте уже должны быть удалены (вычищены все мусорные файлы, удалены инъекции из index.php и footer.php, убиты вредоносные агенты, убиты вредоносные процессы на северер, почищен крон и т.д.)

Пользователь 4505760

Заглянувший

Сообщений: 3 Регистрация: 10.08.2020

#222

17.03.2025 23:06:19

Цитата

написал:

Цитата
написал: После патчера аспро и удаления папок с кешем, везде начало вылетать окно авторизации пользователя.

Сайт все еще заражен, подмена основного .htaccess + вирусные .htaccess в каждой папке
В топике выше уже писали как личить, повторю еще раз:
- удаляем .htaccess из папок bitrix и bitrix/admin и идем в "Настройки - Проактивная защита - Поиск троянов - Проверка .htaccess ( https://ваш_сайт/bitrix/admin/xscan_htaccess.php ) там можем сразу нажать "удалить все и установить минимальный набор"
После этого уже привести в порядок основной .htaccess в корне сайта (или просто скопировать из резерва его.

P.s. при этом остальные следы заражения на сайте уже должны быть удалены (вычищены все мусорные файлы, удалены инъекции из index.php и footer.php, убиты вредоносные агенты, убиты вредоносные процессы на северер, почищен крон и т.д.)

Спасибо за ответ, Дмитрий, но мимо(

htaccess'ы мусорные чистил и на всякий еще разок взял и сбросил до заводских)
К сожалению не помогло. Везде форма авторизации, после авторизации в которой - все прекрасно и как надо отображается.

p.s Хостинг - виртуальный, вредоносные агенты пока до конца не разобрался, как отличить.

Пользователь 4505760 Заглянувший Сообщений: 3 Регистрация: 10.08.2020	#223 0 17.03.2025 23:42:16 Всем спасибо, случайно задел файл .access.php в корне сайта. Восстановил - запахало.

Пользователь 4662832 Заглянувший Сообщений: 2 Регистрация: 16.10.2020	#224 0 18.03.2025 16:07:43 Всем привет! Буду рад любой помощи, получаю ошибку: Forbidden You don't have permission to access this resource. Apache/2.4.56 (Debian) Server at aurum-doors.pro Port 80 Всё вычистил, более ничего не появляется, /bitrix/admin/sale_order.php - не могу войти, где копать?

Пользователь 125280

Посетитель

Сообщений: 32 Баллов: 5 Регистрация: 25.04.2012

#225

18.03.2025 16:18:25

По решениям от Сотбит есть у кого детальная информация что там править? Сотбит собрали нерабочий патч, который не запускается ни на одном проекте, в каждом разные ошибки в логах, в основном ошибки синтаксиса и незаданных значений переменных.

Пользователь 2003275

Заглянувший

Сообщений: 2 Регистрация: 10.05.2018

#226

18.03.2025 17:09:05

Цитата
написал: Всем привет! Буду рад любой помощи, получаю ошибку: Forbidden You don't have permission to access this resource. Apache/2.4.56 (Debian) Server at aurum-doors.pro Port 80 Всё вычистил, более ничего не появляется, /bitrix/admin/sale_order.php - не могу войти, где копать?

Попробуйте восстановить htaccess в корне

Пользователь 2003275

Заглянувший

Сообщений: 2 Регистрация: 10.05.2018

#227

18.03.2025 17:09:58

Цитата

написал:
По решениям от Сотбит есть у кого детальная информация что там править? Сотбит собрали нерабочий патч, который не запускается ни на одном проекте, в каждом разные ошибки в логах, в основном ошибки синтаксиса и незаданных значений переменных.

Вроде обновили патч для версий ниже восьмерки
Напишите в ТП Сотбита

Пользователь 290272

Заглянувший

Сообщений: 6 Регистрация: 04.11.2014

#228

19.03.2025 10:04:00

Добрый день! Может кому поможет - заразили сайт на Аспро: Медицинский центр 2.0 (aspro.medc2). Обновлений к нему давно нет. Влезли через файлы \ajax\form.php и o \form\index.php отправляя им POST данные в ключ additional со строкой, которая при десериализации делает гадости - размещает файл в корне сайта. Сделали по инструкции с сайта Аспро:
"Для исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].

Пример:
было: unserialize($_REQUEST["PARAMS"])
стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])

Обязательно проверить директории:
/ajax/
/include/
/form/
/bitrix/components/aspro"

Плюс вначале файлов \ajax\form.php и o \form\index.php дали свою проверку на адекватность входящих данных. Попытки взлома продолжаются снова с частотой по несколько раз в час, но пока безуспешно.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#229

19.03.2025 11:56:41

Цитата
написал: Добрый день! Может кому поможет

Так вся тема с самого начала буквально про эту уязвимость, и уже больше месяца как опубликованы инструкции по закрытию этой дыры.

Пользователь 4662832 Заглянувший Сообщений: 2 Регистрация: 16.10.2020	#230 0 19.03.2025 15:22:07 Возможно кому-то будет полезно добавил вот такое правило (http.request.uri contains "wordpress") or (http.request.uri contains "wp") в WAF cloudflare за час больше 100 ботов заблокировано которые туда ломились

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером