Форум

[QUOTE]Антон Иванов написал:
[QUOTE] написал:
Сейчас проверил логи, увидел подозрительную деятельность по upload.php, поставил код в файле отсыл в пешее эротическое всех POST запросов, надеюсь поможет[/QUOTE] Можете поделиться, что именно сделали?

Еще щас прошелся по все файлам 30 янв - 6 фев (именно 30.01 моя дата взлома), нашел измененный bitrix/templates/aspro/footer.php
Там в самом низу были в див завернуты невидимые ссылки на порнушные сайты. (дата изменения 4.02, дыру закрыл 5.02)
Проверяйте у себя, наверняка тоже самое найдете.

Больше ничего прям такого не увидел, но куча файлов кеша... в кеш там тоже всё что угодно можно закинуть...
Наверное проще бекап накатить, пока еще живые остались и сразу закрывать дыры[/QUOTE]

Вот в начало файла

[CODE]
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
header("Status: 404 Not Found");
die();
}[/CODE]

footer у меня пустой, видимо из за того что папка aspro_max, но так, как уже писал выше, советую всем просто найти все ново измененные файлы с помощью find, кэш вручную удалять, накатывать бэкап и лечить, предварительно закрыв сервер через htaccess или вручную если есть возможность на хосте. Также советую остановить все процессы на сервере, а лучше и вовсе хард рестарт.

[QUOTE]Артем Медведев написал:
6 день, после лечения файлов, удаление мусора сканером, и закрытие файла /bitrix/tools/upload.php все ок[/QUOTE]
А что не так с этим файлом, и что имеете ввиду под "закрытием"?
UPD.
Сейчас проверил логи, увидел подозрительную деятельность по upload.php, поставил код в файле отсыл в пешее эротическое всех POST запросов, надеюсь поможет

[QUOTE]Антон Иванов написал:
[QUOTE] написал:
Также создает себе доп. лазейку на будущее - файлы в 2025-02-05 10:14:02.764394597 +0300 ./images/mediacontent/next_blog/next_blog/index.php2025-02-05 10:14:02.764394597 +0300 ./images/mediacontent/next_blog/next_blog/qBlfmwVpzrutK.jpx2025-02-05 10:14:06.407394662 +0300 ./store/store/YlnjhceuE.3gp[/QUOTE] А можете сказать, какие-там повторяющие строки кода (кроме "eval(base64") всегда присутствуют? Хочу прогнать поиск по ним на сервере[/QUOTE]

К сожалению, файлы снес безвозвратно. По существую файл наполнен обфусцированным кодом разделенным комментами в виде:

Скрытый текст
<?php /*-)K&:vc@-*/error_reporting(0); /*->NXa:<-*/$CvIZz /*-|tI-*/= /*-YO<gedeSh-*/"r"./*-h`-*/"a"."n"./*-2Oz1c-*/"g"."e";

Советую просто внимательно присмотреться к новым файлам внутри проекта после атак. Я к примеру делал так:
find . -type f -exec stat --format '%Y %y %n' {} \; | sort -n | cut -d' ' -f2- > result.txt

Сейчас (5 февраля 23.30) походу вирусняк "пропатчился" - не успел вычистить его полностью, сейчас сел исправлять по выше описанным схемам, как заметил, что в этот раз заразился index.php в корне. Его удаление/редактирование/изменение прав не помогает. Видимо крутится процесс в системе и перезаписывает его каждый раз при изменениях. К сожалению на хостинге нет горячей перезагрузки или чего то в этом роде. Жду ответа от поддержки. [S]Если кто то знает решение подобного, прошу помочь.[/S]

UPD. Хостинг остановил все процессы, перезапустил и действительно все прошло. Надеюсь на этом истории и закончится. Всем спасибо за выше изложенные ответы.

Также в течении 3-х дней стал жертвой атаки.

Подтверждаю атаки с ip 82.117.87.97, советую отправить его в бан.
Также создает себе доп. лазейку на будущее - файлы в
2025-02-05 10:14:02.764394597 +0300 ./images/mediacontent/next_blog/next_blog/index.php
2025-02-05 10:14:02.764394597 +0300 ./images/mediacontent/next_blog/next_blog/qBlfmwVpzrutK.jpx
2025-02-05 10:14:06.407394662 +0300 ./store/store/YlnjhceuE.3gp
2025-02-05 10:14:06.407394662 +0300 ./store/store/index.php
2025-02-05 10:14:06.409394662 +0300 ./aspro-sitemap/aspro-sitemap/index.php
2025-02-05 10:14:08.877394706 +0300 ./catalog/catalog/index.php
2025-02-05 10:14:09.021394709 +0300 ./search/map/map/G.f4v
2025-02-05 10:14:09.021394709 +0300 ./search/map/map/index.php
2025-02-05 10:14:09.050394709 +0300 ./aspro-sitemap/aspro-sitemap/aspro-sitemap/index.php
2025-02-05 10:14:09.050394709 +0300 ./aspro-sitemap/aspro-sitemap/aspro-sitemap/uvBQTnZxfkAqb.mp4
2025-02-05 10:14:11.546394754 +0300 ./news/news/NkgtvCfyiIQPuKA.m4a
2025-02-05 10:14:11.546394754 +0300 ./news/news/index.php
2025-02-05 10:14:11.557394754 +0300 ./help/warranty/warranty/index.php
2025-02-05 10:14:11.619394755 +0300 ./aspro_regions/robots/robots/index.php
2025-02-05 10:14:14.249394802 +0300 ./search/map/map/map/index.php
2025-02-05 10:14:14.249394802 +0300 ./search/map/map/map/qRbQEt.wav
2025-02-05 10:14:14.308394803 +0300 ./services/services/index.php
2025-02-05 10:14:14.340394804 +0300 ./catalog/catalog/catalog/index.php
2025-02-05 10:14:16.850394849 +0300 ./services/services/services/index.php
2025-02-05 10:14:16.850394849 +0300 ./services/services/services/sWGEufVUpnXeQ.jpx
2025-02-05 10:14:16.943394850 +0300 ./assets/images/images/QKHS.jpx
2025-02-05 10:14:16.943394850 +0300 ./assets/images/images/index.php
2025-02-05 10:14:19.511394896 +0300 ./app/settings/settings/index.php
2025-02-05 10:16:49.169397572 +0300 ./include/form/form/index.php
2025-02-05 10:16:52.000000000 +0300 ./images/toggige-arrow.jpg
2025-02-05 22:24:20.000000000 +0300 ./index.php