Форум

такая мысль:
Если в начале файла  /auth/index.php проверять наличие переменной $register если нет - продолжать без проверки рефферера
если есть - проверить рефферер, если указан текущий сайт - продолжать, если отсутствует или другой сайт - остановить выполнение программы

мне представляется, что у спаммеров рефферера не должно быть, а если реальный человек зашёл по прямой ссылке без рефферера, у него не должно быть переменной $register

что думаете?

Копилот Битрикса такой код написал:---------------
Конечно, я могу помочь с кодом на PHP. Вот пример кода, который проверяет наличие переменной $register и реферера:

```php
<?php
if (isset($register)) {
$referer = $_SERVER['HTTP_REFERER'];
$currentSite = $_SERVER['HTTP_HOST'];

if ($referer == $currentSite) {
// Продолжайте выполнение программы
} else {
// Остановите выполнение программы
exit;
}
} else {
// Продолжайте выполнение программы без проверки реферера
}
?>
```

В этом примере мы используем функцию `isset()` для проверки наличия переменной $register. Затем мы получаем значение реферера с помощью `$_SERVER['HTTP_REFERER']` и текущего сайта с помощью `$_SERVER['HTTP_HOST']`. Если реферер совпадает с текущим сайтом, программа продолжает выполнение. В противном случае, выполнение программы останавливается с помощью функции `exit`. Если переменная $register не существует, программа продолжает выполнение без проверки реферера.

Пожалуйста, учтите, что проверка реферера может быть ненадежной, так как она может быть поддельной или отсутствовать в некоторых случаях.
------------------

Вроде похоже, но я не пробовал, боюсь что-нибудь другое испортить...



Спросил Копилота:-------------------------------
Добавление предложенного кода в начало файла /auth/index.php не должно негативно повлиять на другие функции сайта на Битрикс. Однако, чтобы быть на стороне безопасности, рекомендуется провести тестирование после внесения изменений, чтобы убедиться, что все функции сайта продолжают работать корректно.

Если у вас есть какие-либо настраиваемые модули, компоненты или расширения, которые могут быть связаны с процессом аутентификации или регистрации пользователей, рекомендуется также проверить их совместимость с внесенными изменениями.

В целом, добавление проверки реферера в указанном месте не должно вызывать проблем, но всегда рекомендуется быть осторожным при внесении изменений в код сайта и проводить тестирование после этого.

приветствую, столкнулся с такой же атакой, поставил их в стоп лист
пока что выцепил ip откуда долбятся - с польских адресов 45.138.16.0/24
Если у кого есть есть данные по ip адресам этих зловредов - давайте делиться

вот тут ещё интересное решение: https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic152950/message72940­6/#message729406

В нашем случае видимо так:
------------------------------------------------------
Файл .htaccess в папке /auth запретит доступ к скриптам извне:
 < Files index.php >
Order Allow,Deny
Deny from all
Allow from 127.0.0.1
</ Files >
---------------------------------------

только я не понимаю, почему разрешён 127.0.0.1, а не IP сайта...

Зачем вы вообще держите этот мусор на боевом сайте?