• Друзья! Этот ресурс создан в далеком 2019 году ;) для себя, чтобы структурировать и всегда иметь под рукой нужные решения, примеры, ссылки, описания и т.д., а при случае все это обсудить с коллегами. Если вам что-то подобное может быть интересно – присоединяйтесь! Добавляйте свои заметки! Если нужны дополнительные разделы – сообщайте!

Взломали сайт на Bitrix (putin_, /vote/uf.php, html_editor_action.php и т.д.)

AndreyG

Активист
Сегодня нам взломали сайт на Bitrix. "1С-Битрикс: Управление сайтом 18.1.5". Лицензионный. Скачанный с официального сайта.
Ну и как теперь понятно, взломали не только нам но и всем много кому еще.
Враги изменили содержание index.php в корне. Входов через ssh/ftp не было, т.е. видимо сломали через движок. Как всегда, вероятно через $USER->Authorize(1);
Пока удалось выяснить, что злоумышленники возможно используют уязвимости в файлах:
1. /bitrix/tools/vote/uf.php - у нас такого модуля нет, об этой уязвимости было ранее известно: https://bdu.fstec.ru/vul/2022-01141
2. /bitrix/tools/html_editor_action.php (который вызывает /bitrix/modules/fileman/admin/fileman_html_editor_action.php - файл визуального редактора) - у нас этот файл конечно есть, мы не стали его регулировать правами (а смысл, если это было Authorize(1)?), пока убрали файл совсем, наблюдаем.
Что делают: через уязвимость заливают вредоносный файл в bitrix/upload/tmp и запускают
и далее:
- добавляются агенты (в /bitrix/admin/agent_list.php);
- создается в /bitrix/tools/ файл с префиксом putin_
- удаляется .settings.php;
- пишется новый index.php;
- меняются пароли пользователей (на пароль "putin");
- очищаются таблицы b_iblock, b_iblock_element, b_iblock_element_property


Пока мысль в лоб:
1. сменить id админа;
2. запретить выполнение скриптов из папки bitrix/upload/

Мало ли там еще дыр...

Если вам что-то про это известно, а главное если есть мысли как это предотвратить в будущем - пишите. Решение обновиться до последней версии - не предлагать, во-первых, это не так просто на из-за достаточно тонкой настройки сайта, а во-вторых это нужно лицензию продлевать. Но если Битрикс выпустит свободный патч (а по-моему именно так делают в случае критических уязвимостей) - дайте знать.
 
Последнее редактирование:
Сверху