Форум

[QUOTE] написал:
Добрый день! Может кому поможет [/QUOTE]
Так вся тема с самого начала буквально про эту уязвимость, и уже больше месяца как опубликованы инструкции по закрытию этой дыры.

[QUOTE] написал:
[QUOTE]3. в init.php такой код:

if ($_SERVER['REQUEST_METHOD'] == 'POST'){
   $cont=mb_strtolower(file_get_contents('php://input'));
   if (strpos($cont,'base64_decode') !== false || strpos($cont,'file_put_contents') !== false || strpos($cont,'file_get_contents') !== false || strpos($cont,'fwrite') !== false){
       die('Все, лесом ребята');
   }
}[/QUOTE]
[/QUOTE]
Алексей, Подскажите, этот код надо вставлять в bitrix/php_interface/init.php?
А какие то классы, модули подключать надо?
У меня на все куски коды там всегда вначале идет что-то вроде:[CODE]AddEventHandler('catalog', 'OnBeforeCatalogStoreUpdate', 'storeUpdateHandler');[/CODE]и тд

[QUOTE] написал:
Проверьте файл siteheads.php очень многоСейчас вроде пока тишина. 1. Почистил index.php и bitrix/footer.php там был код. 2. Удалил все .htaccess (25 штук). Создал базовый набор средствамии битрикс.3. Сканером проверил все файлы, удалил кучу файлов вида sdfsf654654.php4. Прогнал файлом fixit.php скачал последнюю версию. ( у меня Аспро Максимум) было 30 ошибок - исправил скрипт, ошибок в работе сайта нет. 5. удалил все siteheads.php - более 206. В бан загнал: 45.142.122.46 7. Проверил все агенты - пусто, подозрений нет.8.  Заодно снес все php.ini в каталогах - более 10 штук.[/QUOTE]
Вы не сказали самого главного - через какой файл вас заразили изначально?

[QUOTE] написал:
[QUOTE][URL=/support/forum/user/108318/]Антон Иванов[/URL] написал:
Хотелось бы получить точный ответ  [/QUOTE]

врят ли за Вас кто-то будет проводить эту аналитическую работу[/QUOTE]
Я думаю, что за годы самой популярности уязвимости наверняка нашлись те, у кого возник такой же вопрос. Подождем ответа)

[QUOTE] написал:
грубо говоря для всех этих файлов POST запросы будут заблокированы[/QUOTE]
Не поломается ли функционал админки от такого блока?
Хотелось бы получить точный ответ

[QUOTE] написал:
если у Вас движек актуален дополнительно ничего делать не нужно[/QUOTE]
А по верхнему сообщению [URL=https://dev.1c-bitrix.ru/support/forum/messages/forum6/topic147346/message760742/#message760742]https://dev.1c-bitrix.ru/support/forum/messages/forum6/topic147346/message760742/#message760742[/URL]
можете ответить?
Движок НЕ актуален.

[QUOTE] написал:
[URL=/support/forum/user/108318/]Антон Иванов[/URL], обновления движка актуальны?

это чего такое?  /bitrix/admin/on.php

похоже штатным аплоадером fileman_file_upload.php загрузили бэкдор - вопрос почему ему доступ был предоставлен, тут нужно изучать ...

в fileman_file_upload.php первая же строчка
$USER->CanDoOperation('fileman_upload_files')
т.е. при обращени юзер был авторизован

в скрипте пролог сначала подрубается, получается если сайт ранее был взломан, инъекцию могли добавить в любое место, где цепляется

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_admin_before.php");
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/fileman/prolog.php");

а это очень много куда можно прицепиться ... например, банально опрос какого нить заголовка и $USER->autorize(); если он есть

ещё вариант - утащили авторизационные данные, либо сессионные данные т.е. запрос изначально штатно авторизованный прилетел[/QUOTE]
Я лишь процитировал предыдущее сообщение несколько страниц назад. Проблема не моя, просто я на чужой проблеме хочу обезопасить себя.

Такой вопрос
Во всех мануалах по закрытию дыр указано, что для файлов:
[CODE]/bitrix/tools/upload.php
/bitrix/tools/mail_entry.php
/bitrix/modules/main/include/virtual_file_system.php
/bitrix/components/bitrix/sender.mail.editor/ajax.php
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
/bitrix/admin/site_checker.php[/CODE]

Перед функцией «require_once» добавить следующий код:

[CODE]if ($_SERVER['REQUEST_METHOD'] === 'POST') {
header("Status: 404 Not Found");
die();
}[/CODE]
Но например в файле bitrix/tools/upload.php там идет всего 1 строка:[CODE]<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/tools/upload.php");?>[/CODE]А в этом уже, на который ссылается, есть «require_once». Так в итоге нам куда этот защитный код вставлять?
В первый файл перед require, или в конечный файл перед require_once?

[QUOTE] написал:
Взломали так:Код2a12:5940:51d6::2 - - [09/Feb/2024:07:33:45 +0300] "GET /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 508794 "[URL=https://site.ru/bitrix/admin/"]https://site.ru/bitrix/admin/&quot[/URL]; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:49 +0300] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 302 - "[URL=https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin"]https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&amp;site=s1&amp;path=%2Fbitrix%...[/URL]; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:50 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "[URL=https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin"]https://site.ru/bitrix/admin/fileman_file_upload.php?lang=ru&amp;site=s1&amp;path=%2Fbitrix%...[/URL]; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin HTTP/1.0" 200 660100 "[URL=https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin"]https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&amp;site=s1&amp;path=%2Fbitrix%2Fadmin&quot[/URL]; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
2a12:5940:51d6::2 - - [09/Feb/2024:07:33:51 +0300] "GET /bitrix/admin/on.php HTTP/1.0" 200 7 "[URL=https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&site=s1&path=%2Fbitrix%2Fadmin"]https://site.ru/bitrix/admin/fileman_admin.php?lang=ru&amp;site=s1&amp;path=%2Fbitrix%2Fadmin&quot[/URL]; "Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko"
То есть пост запросом на /bitrix/admin/fileman_file_upload.php[/QUOTE]
А как закрыть эту дыру?

[QUOTE] написал:
Итого через пару дней пошло заражение. - файлы типа ***7ea***6eb.php в аджакс папке.Т.е. дырища где-то в другом месте. И почему эта дырища в свежекупленном в 2024-2025г шаблоне от аСПРО, поражает но не удивляет.[/QUOTE]
Через какой файл взломали вас, выяснили?