Разработчикам

Форум

Заражение сайтов

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#271

15.05.2025 13:58:50

Цитата

написал:

Цитата

я такое использую:

Код

 location ~* /\.ht  { deny all; }
location ~* /\.(svn|hg|git) { deny all; }
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface|cache) { deny all; }
location ~* ^/bitrix/\.settings\.php { deny all; }
location ~* ^/bitrix/\.settings_extra\.php { deny all; }
location ~* ^/bitrix/error { deny all; }
location ~* ^/local/(modules|php_interface) { deny all; }
location ~* ^/upload/ 1 c_[^/]+/ { deny all; }
location ~* /\.\./ { deny all; }
location ~* ^/bitrix/html_pages/\.config\.php { deny all; }
location ~* ^/bitrix/html_pages/\.enabled { deny all; }
location ~* ^/upload/.+\.svg$ {
    add_header Content-Security-Policy  "default-src 'none'; style-src 'unsafe-inline'; sandbox" ;
}
location ^~ /upload/support/not_image   { internal; }

Алексей, а секция с location / {...} у вас идет ДО или ПОСЛЕ указанных правил?

Пользователь 2663075

Постоянный посетитель

Сообщений: 132 Баллов: 24 Регистрация: 20.11.2018

#272

15.05.2025 16:13:56

Цитата

написал:

Цитата

написал:
я такое использую:

Код

  location ~* /\.ht  { deny all; }
location ~* /\.(svn|hg|git) { deny all; }
location ~* ^/bitrix/(modules|local_cache|stack_cache|managed_cache|php_interface|cache) { deny all; }
location ~* ^/bitrix/\.settings\.php { deny all; }
location ~* ^/bitrix/\.settings_extra\.php { deny all; }
location ~* ^/bitrix/error { deny all; }
location ~* ^/local/(modules|php_interface) { deny all; }
location ~* ^/upload/ 1 c_[^/]+/ { deny all; }
location ~* /\.\./ { deny all; }
location ~* ^/bitrix/html_pages/\.config\.php { deny all; }
location ~* ^/bitrix/html_pages/\.enabled { deny all; }
location ~* ^/upload/.+\.svg$ {
    add_header Content-Security-Policy  "default-src 'none'; style-src 'unsafe-inline'; sandbox" ;
}
location ^~ /upload/support/not_image   { internal; }

Алексей, а секция с location / {...} у вас идет ДО или ПОСЛЕ указанных правил?

до 1-го location

Про вирус | Модуль защиты

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#273

18.05.2025 21:46:04

Цитата
написал: может от версии nginx зависит. т.е. в моем случае получалось, что секция location / {..} шла раньше и запросы к modules обрабатывались ей

Это особенность конфига nginx и не только, что прописано в конфиге выше, то исполняются первыми, если фильтр прописать в конце секции server то ничего он фильтровать не будет...

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#274

18.05.2025 22:07:48

Сейчас посмторел логи, хареры не унимаются...

194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:18 +0300] "POST /bitrix/admin/esol_export_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:19 +0300] "POST /bitrix/admin/kda_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/kda_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/esol_allimportexport_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:23 +0300] "POST /bitrix/admin/esol_massedit_profile.php
194.190.153.24 - - [18/May/2025:21:11:24 +0300] "GET /6940ecae5880.php

Лично у меня ломали Битрикс с самыми последними обновлениями решений и платформы, для себя проблему решил кардинально - помимо фильтрации в nginx от греха подальше удалил оригинальный модуль от esol и вместо него установил переимнованый, в результатее имеем например /bitrix/admin/esoool_import_xml_cron_settings.php и хакеры лупят в пустоту...

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#275

19.05.2025 08:07:11

И что довольно важно, в секции server выше !!! всех location желательно прописать следующее:

# block SQL injections
set $block_sql_injections 0;
if ($query_string ~ "uni on.*select.*\(") {set $block_sql_injections 1;}
if ($query_string ~ "union.*all.*sel ect.*") {set $block_sql_injections 1;}
if ($query_string ~ "concat.*\(") {set $block_sql_injections 1;}
if ($block_sql_injections = 1) {return 444;}

# block base64 decode
if ($query_string ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {return 444;}
if ($http_referer ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {return 444;}
if ($request_body ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt|base64_|fwrite)") {return 444;}

# block file injections
set $block_file_injections 0;
if ($query_string ~ "[a-zA-Z0-9_]=http://") {set $block_file_injections 1;}
if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") {set $block_file_injections 1;}
if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") {set $block_file_injections 1;}
if ($block_file_injections = 1) {return 444;}

# block common exploits
set $block_common_exploits 0;
if ($query_string ~ "(<|%3C).*script.*(>|%3E)") {set $block_common_exploits 1;}
if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") {set $block_common_exploits 1;}
if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") {set $block_common_exploits 1;}
if ($query_string ~ "proc/self/environ") {set $block_common_exploits 1;}
if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") {set $block_common_exploits 1;}
if ($query_string ~ "base64_(en|de)code$.*$") {set $block_common_exploits 1;}
if ($block_common_exploits = 1) {return 444;}

Подобный конфиг не нов, но в тех что видел в случае атаки сервер отдает атакующему 403 ошибку, я же прописал 444 - при выполнении условий соединение закрывается без отправки данных клиенту, дабы хакеры не получали никакой инфы от атакуемого сервера

Пользователь 13618 Эксперт Сообщений: 1364 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#276 0 19.05.2025 08:13:29 Годные замечания. Юрий Олейников, спасибо! Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#277

19.05.2025 08:14:43

И что крайне желательно - если нет зарубежных клиентов, то для уменьшения вектора атак лучше заблокировать весь трафик из за границы, в nginx для этого уже имеется модуль ngx_http_geoip2_module который на ура режет все запросы не из Роcсии, настройки минимальные, если кому будет интерсно опубликую для dedian / ubuntu

Пользователь 13618 Эксперт Сообщений: 1364 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#278 0 19.05.2025 08:27:07 Юрий Олейников, интересно. Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 13618 Эксперт Сообщений: 1364 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#279 0 19.05.2025 08:27:41 Правда сейчас довольно много народу под VPN сидят... Их можно потерять Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#280

19.05.2025 09:24:37

Цитата
написал: Правда сейчас довольно много народу под VPN сидят... Их можно потерять

Tсть такое, в таком случае можно не жестко рубить зарубежный трафик, а в фильтре прописать 301 код и перенаправить клиента на страницу с просьбой отключить VPN

Собственно сабж: есть такая замечательная компания как MaxMind сайт maxmind.com которая предоставляет геоданные по ip, лучше ее данных пожалуй нет, но с недавних пор из России не зарегиться, но есть энтузиасты корые скачивают и выкладывают базы для все желающих ими пользоваться https://github.com/P3TERX/GeoLite.mmdb , у nginx под базу MaxMind имеется модуль, но он находится только в полной версии, устанавливается она так:

sudo apt install -y nginx-full

ну а дальше дело техники, постараюсь прописать как можно понятней
------------------------------------------------------------------------------------------------------------------
создать каталог для базы

sudo mkdir /usr/share/geoip2
-------------------------------------------------------------------------------------------------------------------
создать скрипт загрузки базы, ввести в терминале

sudo nano /usr/local/bin/update_geoip2.sh

и в открывшемся окне прописать

#!/bin/bash
#
mkdir /usr/share/geoip2/tmp/
wget https://git.io/GeoLite2-Country.mmdb -O /usr/share/geoip2/tmp/GeoLite2-Country.mmdb
cp /usr/share/geoip2/tmp/GeoLite2-Country.mmdb /usr/share/geoip2/GeoLite2-Country.mmdb
rm -r /usr/share/geoip2/tmp/
systemctl restart nginx

--------------------------------------------------------------------------------------------------------------------------------

сделать соданный скрипт исполняемым

sudo chmod +x /usr/local/bin/update_geoip2.sh
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

чтобы удостовериться что все работает произвести ручной запуск скрипта, в папке /usr/share/geoip2 должа появиться база

sudo /usr/local/bin/update_geoip2.sh

если все ок, то добавить в cron

sudo crontab -e

следующую запись загружающую свежую базу каждый день скажем в 6 утра

0 6 * * * /usr/local/bin/update_geoip2.sh

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

далее открыть основной конфиг nginx и после # Virtual Host Configs прописать следующее

sudo nano /etc/nginx/nginx.conf

# geeoip
geo $lan-ip {
default no;
192.168.0.1/10 yes;
}

geoip2 /usr/share/geoip2/GeoLite2-Country.mmdb {
$geoip2_data_country_iso_code country iso_code;
}

map $geoip2_data_country_iso_code $allowed_country {
default no;
RU yes;
}

где первая часть разрешает доступ по локальной сети, если используется то прописать свои данные вместо 192.168.0.1/10
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ну и последнее, в конфиге сервера дописать вверху, выше всех location !!! следующее

# geeoip2
if ($lan-ip = yes) {set $allowed_country yes;}
if ($allowed_country = no) {return 444;}

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
После перезагрузить nginx командой

sudo systemctl restart nginx

и вуаля!

Прикрепленные файлы

Снимок экрана от 2025-05-19 08-45-53.png (337.77 КБ)
Снимок экрана от 2025-05-19 08-45-07.png (79.54 КБ)

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером