Форум

На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN [URL=https://asn.ipinfo.app/AS210644]https://asn.ipinfo.app/AS210644[/URL] провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа [URL=https://asn.ipinfo.app/api/text/nginx/AS210644]https://asn.ipinfo.app/api/text/nginx/AS210644[/URL]). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..

Тоже столкнулись с созданием странных файлов в bitrix/admin, создаются они путём POST запросов на главную страницу сайта. Защитились запретом на отправку POST запросов к главной странице директивой в .htaccess.

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^/$
RewriteRule .* - [F,L]


Теперь злоумышленник получает 403 в ответ на пост запрос, и файлы не создаются.