Поддержка по экзаменам, проверка "Имя"
13.04.2024 05:37:02
Поддержка по экзаменам, проверка "Имя"
|
|
|
13.02.2024 07:18:42
[QUOTE]Агзамов Раиль написал:
Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь.[/QUOTE] бесплатно? если да, то вообще супер-вариант! :) |
|
|
13.02.2024 07:11:56
[QUOTE]Виталий Силин написал:
Битриксы древних версий, но все ранее известные уязвимости по имеющимся рекомендациям были закрыты.[/QUOTE] вот я тут сильно сомневаюсь, что закрыты - я когда "наискосок" посмотрел "bitrix attack" (90% конечно не понял, уж больно всё на "заумном"), но понял одно - если внутри ядра не поправлено, то "достучаться" можно не только через явно указанные дыры и первое, что нужно сделать это актуализировать движек, потом всё в гит и вылавливать дыры в некоторых случаях (например в Вашем) наверное проще перетащить контент на свежеустановленный движек, потом гит и режим наблюдения, иначе можно задолбаться вычищать |
|
|
13.02.2024 07:05:15
[QUOTE]Виталий Силин написал:
Из симптомов, куча perl процессов из /tmp, левое задание cron[/QUOTE] это что-то новенькое [QUOTE]Виталий Силин написал: При этом в админке он не авторизовывался и включено OTP[/QUOTE] при файловом доступе авторизация вообще не проблема [QUOTE]Виталий Силин написал: Так что, кто до сих пор не обновился и словит подобное, имейте ввиду[/QUOTE] 100% ! может быть и хуже на сколько я помню Украинские хакеры после начала СВО сносили контент - как в БД так и в файлах |
|
|
12.02.2024 18:43:14
[QUOTE]Владислав Голубев написал:
Кстати один из распространённых вариантов - увели пароль FTP или SSH [/QUOTE] Ну да - смена всех паролей это вообще первое, что нужно сделать при обнаружении взлома. SSH, FTP и от админки тоже Шаред хостинг в принципе не рекомендую - виртуалки имхо понадёжнее. Раньше было много кейсов по взлому "соседей", сейчас не знаю как там дела обстоят. |
|
|
12.02.2024 12:34:45
[QUOTE]Юрий Шишнин написал:
Прошу совета! Как решить проблему окончательно? Куда смотреть?[/QUOTE] * сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения * удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php * проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное * сменить все пароли - ssh, ftp, все админские учетные записи на сайте * воспользоваться штатными средствами Проактивная защита начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru * воспользоваться сторонними средствами ( aibolit и т.п.) * поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке - конкретный пост не подскажу, давненько было дело - нужно искать. Я по ним много раз находил заразу. * посмотреть агентов - чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет - всё равно будет заново создано) * так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает * добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения) * поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку) так по горячим следам гораздо проще анализировать логи (например за последние сутки) * по логам вычислить заразу и прибить * после чистки - режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме) * регулярное резервное копирование (желательно не сюда же - в облако или стороннее хранилище, при наличии гита можно бэкапить только БД) как то так ... P.S. так же можно обратиться в саппорт Битрикса - есть случаи когда саппорт помогал найти и устранить уязвимость |
|
|
12.02.2024 12:27:31
[QUOTE]Юрий Шишнин написал:
Как подсадили, не догадываюсь.[/QUOTE] пока не догадаетесь, так и будет всякая зараза на сайте значит у Вас либо открытая уязвимость (версия движка актуальная?) либо бэкдор, который подсунули в момент когда уязвимость ещё была не защищена нужно проанализировать логи - найти эту дыру и залатать |
|
|
12.02.2024 09:06:46
[QUOTE]Андрей Молодцов написал:
Написал Вам в личку ссылку[/QUOTE] походил по каталогу - не моделируется |
|
|