1С-Битрикс Разработчикам

Пользователь 13618 Эксперт Сообщений: 1364 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#321 0 31.05.2025 06:18:41 Толку нет от закрытия /bitrix/admin/ ломают через другие дыры Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#322

31.05.2025 08:27:20

Цитата
написал: Толку нет от закрытия /bitrix/admin/

Не могу согласиться, если току нет, то зачем хакеры долбят по путям где находятся файлы модулей от партнеров, такие как /bitrix/admin/, /bitrix/modules/, /bitrix/wizards/, /bitrix/templates/, и т.д.? Вот кусок лога с моего сервера с попытками произвести php-инъекцию по пути /bitrix/admin/:

194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:17 +0300] "POST /bitrix/admin/esol_import_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:18 +0300] "POST /bitrix/admin/esol_export_xml_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:19 +0300] "POST /bitrix/admin/kda_import_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/kda_export_excel_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:20 +0300] "POST /bitrix/admin/esol_allimportexport_cron_settings.php
194.190.153.24 - - [18/May/2025:21:11:23 +0300] "POST /bitrix/admin/esol_massedit_profile.php
194.190.153.24 - - [18/May/2025:21:11:24 +0300] "GET /6940ecae5880.php

Если все кишки модулей торчат наружу и доступны из веба, то только на уровне сервера можно закрыть уязвимые места от известных и еще не вывыявленных уязвимостей, это лучшее что можно придумать, и по хорошему бы лучше не ограничиваться лишь одним /bitrix/admin/, а закрыть на уровне сервера по ip все возможные подкаталоги в /bitrix/ явно не влияющие на клиентский функционал

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#323

01.06.2025 20:07:32

Цитата
написал: и по хорошему бы лучше не ограничиваться лишь одним /bitrix/admin/, а закрыть на уровне сервера по ip все возможные подкаталоги в /bitrix/

Ограничил досуп по ip к php файлам во всех подкаталогах каталога /bitrix/, каких то эксцесов в работе с клиентской частью не заметил, по видимому годное решение, можно дальше идти по этому пути закрывая другие каталоги

Код

# bitrix admin
location ~ /bitrix/(activities|admin|blocks|cache|catalog_export|components|crontab|css|fonts|gadgets|html_pages|images|js|legal|managed_cache|modules|otp|panel|php_interface|services|sounds|stack_cache|template|templates|themes|tmp|tools|updates|wizards)/.+\.php$ {
   try_files $uri =403;
   include fastcgi_params;
   fastcgi_pass unix:/var/run/php/php8.2-fpm.sock;
   fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
   fastcgi_param SCRIPT_NAME $fastcgi_script_name;
   fastcgi_param REMOTE_USER $http_authorization;
   allow 192.168.0.2;
   allow 192.168.0.3;
   deny all;
}

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#324

01.06.2025 21:28:18

Цитата
написал: новые попытки взлома через /bitrix/services/main/ajax.php

После закрытия доступа по ip к /bitrix/services/ nginx при попытке обращения к данному файлу отдает 403 Forbidden, рекомендую

Пользователь 51538

Заглянувший

Сообщений: 7 Регистрация: 30.10.2009

#325

02.06.2025 08:42:39

Цитата
написал: The code ensures that all files and subdirectories in /bitrix/admin/* are only accessible from the IP address resolved using the DDNS name. The file /bitrix/admin/user_options.php is defined as an exception to this restriction.

Interesting approach, thanks - we'll try it out.

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#326

07.06.2025 01:45:03

Интерсный запрос вчера в логе словил
138.124.31.112 - - [06/Jun/2025:08:33:32 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.1"

А немногим позже обращение к трояну
138.124.31.112 - - [06/Jun/2025:11:42:02 +0300] "GET /6940ecae5880.php HTTP/1.1"

Интерсно то что через /bitrix/tools/composite_data.php уже ломились, года три этак назад, тогда выкатили обновление и лазейку прикрыли, а сейчас хакеры видать что то поменяли и снова ломятся в ту же дверь...

Пользователь 40932

Заглянувший

Сообщений: 2 Регистрация: 10.09.2015

#327

10.06.2025 17:03:38

всем привет, вести с полей:

по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам.

в автоматическом режиме авторизовываются в адмике, переходят в исполнение php кода, ну а дальше уже раскидывают файлики accesson.php, wp-cron.php, wp-blog-header.php, папки wp/

Код

$ cat domain.tld-access.log | grep 138.124.31.112
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 301 162 0.000 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:43 +0300] domain.tld "GET /bitrix/admin/index.php?login=yes HTTP/1.0" 200 22561 0.029 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "-"
138.124.31.112 - - [10/Jun/2025:16:41:44 +0300] domain.tld "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 130 0.079 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:45 +0300] domain.tld "GET /bitrix/admin/php_command_line.php?lang=ru HTTP/1.0" 200 516420 0.236 "https://domain.tld/bitrix/admin/index.php?login=yes" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:47 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.110 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:48 +0300] domain.tld "POST /bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a436d6699 HTTP/1.0" 200 119 0.078 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:41:52 +0300] domain.tld "POST /bitrix/admin/accesson.php HTTP/1.0" 200 9 0.056 "https://domain.tld/bitrix/admin/php_command_line.php?lang=ru&sessid=988ba2358ed8b995e528d42a...; "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"
138.124.31.112 - - [10/Jun/2025:16:42:02 +0300] domain.tld "GET /bitrix/admin/570762b20afa.php HTTP/1.0" 200 9 0.001 "https://domain.tld/bitrix/admin/accesson.php" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2923.31 Safari/537.36" "138.124.31.112" "-" "DsM2TSOen18rh45NwqBLjKSmt8VA19H4"

несколько раз всё вычищал, пока не понял что в админку входят.

вывод: после того, как почистили не забудьте поменять пароли.

Пользователь 126180 Заглянувший Сообщений: 2 Регистрация: 25.10.2012	#328 0 10.06.2025 20:22:06 Кто хочет закрыть сайт по странам на основе IP - это легко сделать, если у вас ISP панель на хостинге. И действует вариант с актуальными базами.

Пользователь 4265440

Посетитель

Сообщений: 37 Баллов: 5 Регистрация: 11.03.2021

#329

11.06.2025 23:03:05

Цитата
написал: по всей видимости брутят пароль или просто подбирают по словарям либо же по открытым источникам

Подскажите, а штатный механизм защиты административного раздела /bitrix/admin/security_iprule_admin.php был задействован?

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером