Форум

[QUOTE] написал:

Версия PHP 7.4.30, Битрикс актуален до 20.08.2022[/QUOTE]
Пробуйте
[URL=https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic160668/message759656/#message759656]https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic160668/message759656/#message759656[/URL]

Потом обязательно вычищайте имеющиеся бэкдоры
[URL=https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic160668/message759674/#message759674]https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic160668/message759674/#message759674[/URL]

Повторное появление /assest/img/accession.php говорит о трех вещах:
1) фикса не сработала
2) не все пофиксили
3) фикса сработала но есть бэкдоры через которые продолжается атака

Для выявления точки взлома и метода решения надо работать с логами (анализировать пост запросы).

[FONT="Courier New"]json_decode[/FONT] – может привести к пустому значению, comp_catalog_ajax.php не будет работать таб.

[QUOTE] написал:
Отлично! Большое спасибо![/QUOTE]
[LIST=1]
[*]Проверьте атаки на /include/mainpage/comp_sections.php – у меня нет такого файла, но по логам этот же бот ломится.
[*]Дополнительно проверьте наличие бэкдора /aspro_regions/robots/connector.php – он позволяет атакующей стороне получить полный контроль над проектом. Удалить.
[*]Проверка проекта поиском трояна /bitrix/admin/xscan_worker.php, проверьте измененные файлы с октября 2024 года.
[*]После фиксы рестарт httpd и mysql, чтобы убить возможные процессы и вычистить ресурсы сервера.
[/LIST]

[QUOTE] написал:
Если можно, то целиком код для этого файла, буду очень благодарен.[/QUOTE]
Обернул [FONT="Courier New"][fix]...[/fix][/FONT][CODE] <?$bAjaxMode = (isset($_POST["AJAX_POST"]) && $_POST["AJAX_POST"] == "Y");
if($bAjaxMode)
{
require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");
global $APPLICATION;
if(\Bitrix\Main\Loader::includeModule("aspro.max"))
{
 $arRegion = CMaxRegionality::getCurrentRegion();
}
}?>
<?if((isset($arParams["IBLOCK_ID"]) && $arParams["IBLOCK_ID"]) || $bAjaxMode):?>
<?
//[fix]
//$arIncludeParams = ($bAjaxMode ? $_POST["AJAX_PARAMS"] : $arParamsTmp);
//$arGlobalFilter = ($bAjaxMode ? unserialize(urldecode($_POST["GLOBAL_FILTER"])) : ($_GET['GLOBAL_FILTER'] ? unserialize(urldecode($_GET['GLOBAL_FILTER'])) : array()));
//$arComponentParams = unserialize(urldecode($arIncludeParams));
if ($_POST["AJAX_PARAMS"] && !is_array(unserialize(urldecode($_POST["AJAX_PARAMS"]), ["allowed_classes" => false]))) {
header('HTTP/1.1 403 Forbidden');
$APPLICATION->SetTitle('Error 403: Forbidden');
echo 'Error 403: Forbidden_1';
require_once($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/epilog_after.php');
die();
}
$arIncludeParams = ($bAjaxMode ? $_POST["AJAX_PARAMS"] : $arParamsTmp);
$arGlobalFilter = ($bAjaxMode ? unserialize(urldecode($_POST["GLOBAL_FILTER"]), ["allowed_classes" => false]) : ($_GET['GLOBAL_FILTER'] ? unserialize(urldecode($_GET['GLOBAL_FILTER']), ["allowed_classes" => false]) : array()));
$arComponentParams = unserialize(urldecode($arIncludeParams), ["allowed_classes" => false]);
//[/fix]

$_SERVER['REQUEST_URI'] = SITE_DIR;

$application = \Bitrix\Main\Application::getInstance();
$request = $application->getContext()->getRequest();

$context = $application->getContext();
$server = $context->getServer();

$server_get = $server->toArray();
$server_get["REQUEST_URI"] = $_SERVER["REQUEST_URI"];

$server->set($server_get);

\Aspro\Functions\CAsproMaxReCaptcha::reInitContext($application, $request);
// $APPLICATION->reinitPath();

$GLOBALS["NavNum"]=0;
?>

<?
if(is_array($arGlobalFilter) && $arGlobalFilter)
 $GLOBALS[$arComponentParams["FILTER_NAME"]] = $arGlobalFilter;

if(/*$bAjaxMode &&*/ $_REQUEST["FILTER_HIT_PROP"])
 $arComponentParams["FILTER_HIT_PROP"] = $_REQUEST["FILTER_HIT_PROP"];

/* hide compare link from module options */
if(CMax::GetFrontParametrValue('CATALOG_COMPARE') == 'N')
 $arComponentParams["DISPLAY_COMPARE"] = 'N';
/**/

if(CMax::checkAjaxRequest() && $request['ajax'] == 'y')
{
 $arComponentParams['AJAX_REQUEST'] = 'Y';
}

?>

<?$APPLICATION->IncludeComponent(
 "bitrix:catalog.section",
 "catalog_block",
 $arComponentParams,
 false, array("HIDE_ICONS"=>"Y")
);?>

<?endif;?>
[/CODE]

PHP 8.1.x
БУС 24.300.ххх
Aspro: Next 1.8.x


comp_catalog_ajax.php – у меня работает это решение, функционал не ломается, атакующая сторона получает 403 ошибку.[CODE]if ($_POST["AJAX_PARAMS"] && !is_array(unserialize(urldecode($_POST["AJAX_PARAMS"]), ["allowed_classes" => false]))) {
   header('HTTP/1.1 403 Forbidden');
   $APPLICATION->SetTitle('Error 403: Forbidden');
   echo 'Error 403: Forbidden_1';
   require_once($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/epilog_after.php');
   die();
}
$arIncludeParams = ($bAjaxMode ? $_POST["AJAX_PARAMS"] : $arParamsTmp);
$arGlobalFilter = ($bAjaxMode ? unserialize(urldecode($_POST["GLOBAL_FILTER"]), ["allowed_classes" => false]) : array());
$arComponentParams = unserialize(urldecode($arIncludeParams), ["allowed_classes" => false]);

[/CODE]reload_backet_fly.php show_backet_fly.php show_basket_popup.php – не использую, функционал не проверял, но атакующая сторона получает 403 ошибку.[CODE]if (!is_array(unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]))) {
   header('HTTP/1.1 403 Forbidden');
   $APPLICATION->SetTitle('Error 403: Forbidden');
   echo 'Error 403: Forbidden';
   require_once($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/epilog_after.php');
   die();
}
$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]);
[/CODE]Также атакуют comp_sections.php но у меня его нет. Предполагаю что там аналогичная ситуация.

Веселое обновление

Пример реализации отключения уведомлений о заказах для учетных записей у которых определенно пользовательское свойство UF_NOTIFY_SALE == 0 (не уведомлять)[CODE]# D7: Отключаем уведомления о заказах для пользователей, которые не хотят их получать
AddEventHandler("main", "OnBeforeEventAdd", "DoNotSendMailSale");
function DoNotSendMailSale (&$event, &$lid, &$arFields) {
   // определяем ID заказа
   $OrderId = $arFields[ORDER_REAL_ID];
   if ($OrderId > 0):
       // получаем данные о заказе
       \Bitrix\Main\Loader::includeModule('sale');
       $OrderDetail = \Bitrix\Sale\Order::load($OrderId);
       // извлекаем параметр уведомления у пользователя, который сделал заказ
       $OrderByUser = $OrderDetail->getUserId();
       $arFilter = array("ID" => $OrderByUser);
       $arParameters['SELECT'] = array("UF_NOTIFY_SALE");
       $arRes = CUser::GetList(($by = "personal_country"), ($order = "desc"), $arFilter, $arParameters);
       $res = $arRes->Fetch();
       // если у пользователя определено НЕТ, то останавливаем отправку письма
       if ($res["UF_NOTIFY_SALE"] == 0): return false; endif;
   endif;
}
[/CODE]