Александр, теперь поиском по всем php файлам ищите bitixxx
И в агентах ещё обязательно проверьте заразу
И в агентах ещё обязательно проверьте заразу
01.03.2023 18:41:06
[QUOTE]Владимир Кузин написал:
Есть и свежие сайты. Обновлялись перед 1 февраля, чтобы была актуальная версия и не обновлять php до воьсмерки. Второй день мучаемся вычищаем. Так же есть еще три сайта на старых версиях. И один есть старый и бех vote. Симптомы схожие.[/QUOTE] На хостинге был ещё хоть один не обновленный сайт? Или один сайт - один хостинг? |
|
|
01.03.2023 16:39:33
[QUOTE]Александр Каменский написал:
Коллеги, исходя из темы не до конца ясно, страдают только старые (не обновленные) сайты или есть случаи и с актуальными версиями?[/QUOTE] я так понимаю только не обновлённые, хотя было одно сообщение [QUOTE]Андрей Петров написал: ага, взломали сайт без всяких модулей голосования, с обновлениями на Старте[/QUOTE] но так и без ответа про уязвимость ... Лично на моей практике попадались взломанные сайты только не обновлённые [QUOTE]Алексей написал: 24 февраля начали - годовщина СВО.[/QUOTE] похоже на причину новой "волны", на сколько я помню год назад тоже была волна взломанных сайтов и не только под Битрикс. |
|
|
01.03.2023 16:06:01
dmitry920, Вы бы лучше на этой главной содержимое $_POST запроса куда нить в файлик сохранили и сюда запостили, тогда можно найти адресата - скорее всего в ядре где-то спрятался.
В Вашем случае злоумышленнику достаточно этот $_POST запрос на любую другую страницу направить и вуаля. в самое начало index.php разместите (блокировку уберите, она тут есть) [CODE] @mkdir('logs'); if(!empty($_POST)) { file_put_contents('./logs/post-'.time().'.log', var_export($_POST, true)); die('hack attempt'); } [/CODE] перед die() можно ещё добавить mail('mail@to', 'hack attempt', 'hack attempt'); чтобы попытки POST запросов на мыло фиксировать, после чего в ./logs/ заглянуть и сюда содержимое файлика закинуть |
|
|
01.03.2023 03:32:21
[QUOTE]Евгений Власов написал:
Обновили битрикс. Но файл в bitrix/admin сегодня опять создался.[/QUOTE] Смотрите логи, чистите бэкдоры. В агентах обязательно проверьте. |
|
|