Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.
01.03.2023 01:35:51
Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.
|
|
|
|
01.03.2023 02:35:28
|
|||
|
|
01.03.2023 03:32:21
Смотрите логи, чистите бэкдоры. В агентах обязательно проверьте. |
|||
|
|
01.03.2023 11:50:07
24 февраля начали - годовщина СВО. То что модули ui/fileman рекомендуете удалить - это неправильно - основополагающие модули. можно тогда /bitrix/modules/main удалить тоже, чтоб надежно вирус загасить. но это и сайт не будет работать )) |
|||||||||||
|
|
01.03.2023 12:32:09
коллеги, у кого после лечения и всяческих блокировок гадость продолжает лезть - проверьте агенты. у себя обнаружил в списке агентов эвал-код, который запускался и порождал бекдор.
сильно помогла статья |
|
|
|
01.03.2023 13:24:50
Проверено на себе - если переименовать временно модули из списка, работоспособность сайта извне не теряется, но редактировать/или добавлять контент не получится, конечно. После чистки и перед самим обновлением их нужно будет вернуть. К сожалению, для избавления от дыр обновиться нужно будет обязательно. Для меня это пока наиболее быстрый вариант очистки от вируса... PS: по идее, тем у кого редакция выше 18, достаточно избавиться только от vote, но это не точно... |
|||
|
|
01.03.2023 15:20:56
Тоже столкнулись с созданием странных файлов в bitrix/admin, создаются они путём POST запросов на главную страницу сайта. Защитились запретом на отправку POST запросов к главной странице директивой в .htaccess.
RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} ^/$ RewriteRule .* - [F,L] Теперь злоумышленник получает 403 в ответ на пост запрос, и файлы не создаются. |
|
|
|
01.03.2023 16:06:01
dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался.
В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля. в самое начало index.php разместите (блокировку уберите, она тут есть)
перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть |
|||
|
|
01.03.2023 16:08:23
clone message deleted
|
||||
|
|
|||