Цитата | ||||
---|---|---|---|---|
написал:
|
Я б начал с отключения всего не сильно популярного
27.02.2023 14:25:39
Сергей, Ю Касса Vampirus, Калькулятор доставки едост, модуль интеграции сдек, яндекс.маркет для продавцов.
Алексей Вдовин, в саппорт не писали, проверим сайт на вирусы и напишем, пока есть возможность сливаем бекап со второго оставшегося "живого" сайта, у нас их два на одной платформе. По результатам отпишусь обязательно |
|
|
|
27.02.2023 14:31:19
тут самое интересное (и конечно самое трудоёмкое) - анализ логов и выявление дыры
|
|
|
|
27.02.2023 15:15:03
Временно лечение:
1. В агентах отключить Агента с ид 1, где будет код вируса. 2. Если ВМ, на сервере прибить процесс вируса (он будет следить, чтобы файлы не менялись) ps aux | grep php найти подозрительные. 3. Вернуть нужные index.php и .htaccess 4. Почистить .htaccess в других папках...
:)
|
|
|
|
27.02.2023 15:31:16
что-то новенькое! а как залезают то? |
|||
|
|
27.02.2023 15:56:08
пункт 4 дополним: Почистить также inputs.php - на одном сервере с проектами были ещё такие файлы лишние в каждой папке. |
|||||
|
|
27.02.2023 15:59:41
Лечение на данный момент я так понимаю только откатить из резервной копии, так как файлов создается большое количество, более 100
|
|
|
|
27.02.2023 16:20:26
когда .htaccess похерели на сайте клиента, я несколько тысяч инфицированных .htaccess поиском нашел
пришлось с бэкапа восстановиться правда я только файловую структуру восстанавливал - БД не трогал (в этом случае обязательно проверить наличие вирусни в агентах) |
|
|
|
28.02.2023 05:05:08
Мы у себя также обнаружили файл в процессах с вредоносным кодом
Помогли следующие шаги: 1. Восстановить сайт из незараженной копии 2. Удалить vote модуль, мы ним не пользуемся 3. Убить вредоносный процесс (/var/www/bitrix/src/app/l.php) 4. Восстановить агент, который был заражен. Там изначально был просто код CEvent::CleanUpAgent(); 5. Удалить файлы php, которые были созданы в корневой папке сайта и в /bitrix/admin (/bitrix/admin/f408f2b7df70.php, /f408f2b7df70.php) Пока файл перестал создаваться, хотя запросы продолжаются. Будем наблюдать. |
|||||
|
|
28.02.2023 05:15:20
а что за запросы? куда долбят? |
||||
|
|
|||