Вредоносный код на сайте?

Question

[photosho]

На сайте Bitrix время от времени появляется ссылка типа /sellmestore.pw/jquery-ui.js. Читал про какой-то недавний вирус, но есть подозрение, что это что-то другое - там атака была через модуль "vote", но у нас этот модуль отключен, и файлы все равно заражаются. В основном, это "/bitrix/js/main/core/core.js", причем даже не обновляется время изменения файла, и смена атрибутов файла не помогает. Кто знает, может быть, еще появлялась недавно какая-нибудь уязвимость?

Answer 1

[Maксим Волков]

На самом деле проблема актуальна и широко обсуждается на форуме Bitrix в ветке: Взломаны сайты в честь дня конституции Украины. Рекомендую ознакомится, много информации о причинах взлома, и способах решения проблемы.

Но без обновления БУС решить проблему не получится, так как, без обновления, после удаления вредоносного кода уязвимость остается, и проблема повторяется.

Answer 2

[fStrange]

Это все та же уязвимость в модуле vote которую массово используют с 30 июня.
1.
bitrix/js/main/core/core.js
bitrix/modules/main/include/prolog.php
Эти 2 файла поправить.
/bitrix/components/bitrix/main.file.input/main.php
этот удалить.

2.
Помимо этого обычно остаются несколько шеллов в разных местах, их надо искать ручками. Например можно поискать по строке "system($_", пример шелла die(system($_server['http_p'])) , но это не единственный вариант. Если не умеете дать специалисту. (например мне)

3. далее удалить модуль vote

Если вы нормально выполнили п.2 и вычистили все шеллы, то этого будет достаточно без какого либо обновления и покупки лицензии на Битрикс.
Если шеллы вычистили не все, то увы заражение повторят.

Answer 3

[Александр Фалалеев]

Эта "уязвимость" исключительно дело рук самих вебмастеров которым плевать на свой сайт.

Ни один сайт на котором стоят все обновления Битрикса и не отключён и настроен грамотно модуль "Проактивная защита" взломан не был.

Если же Вы сидите на версии, лицензия на которую закончилась сто лет назад то Вы ССЗБ !

Что делать:

Очищаете файл bitrix/modules/main/include/prolog.php от встроенного кода,
удаляете файл /bitrix/components/bitrix/main.file.input/main.php.
Обновляете ядро и все модули до последней версии.

Если у вас ядро уже последней версии, то файл /bitrix/js/main/core/core.js нужно заменить с чистой установки этой же редакции БУС, т.к. у вас core.js тоже заражен. А при обновлении ядра core.js перезаписывается чистым файлом без заразы.

Comments

[Adamos]

Если же Вы сидите на версии, лицензия на которую закончилась сто лет назад то Вы ССЗБ !

Если сайт уже сидит на Битриксе, то у него, собственно, два выхода:
- либо отстегивать Битриксу каждый год бабло на обновления, которые лихо ломают то, что работает, зато, как правило, не добавляют ничего, что реально нужно сайту
- либо переписывать сайт с нуля

Ничего удивительного в том, что владельцы сайтов выбирают третий путь, не вижу. Увы, из-за рукожопости битриксоидов - это чревато "сюрпризами", причем, ЧСХ, в тех модулях, которые не менялись десятилетиями - как были написаны через жопу, так и оставались. Вроде тех же голосовалок.

[Александр Фалалеев]

Adamos,

Да, именно так - каждый год платить за лицензию, тестировать и переписывать если надо код и т.д. и т.п.

Это и называется работой вебмастера, заботящемся о своём сайте !

А тем кто выбирает "третий путь" не стоит обвинять в рукожопости битриксоидов (хотя это тренд и модно) прикрывая тупо свою жадность.

Жадность - порождает бедность !

[Adamos]

переписывать если надо код

Битрикса. Ага. Полгигабайта говнокода - сесть и переписать, чо.

Те, кто выбрали "третий путь" - это те, кого удачно поимели манагеры, всучив чемодан без ручки с абонентской платой. Бессмысленность оплаты ненужного - это отнюдь не "тупо жадность", хотя продажники, конечно, порвут на этом все тельняшки.
На самом деле владельцам сайтов, как правило, просто изначально на хрен не нужен был именно Битрикс, и они заложники этой единственной ошибки.

[Ярослав Александров]

Adamos, -

либо переписывать сайт с нуля

- я правильно понимаю с ваших слов, что тому кто написал сайт с нуля платить за поддержку и обновление самописной системы не нужно?

[Александр Фалалеев]

Adamos, не юродствуйте - не ядро, а свой код переписывать надо если при переходе с 5.6 на 7.4 php что-то не заработало. Или предлагаете в 2022 так и сидеть на 5.6 и десять лет необновлённой CMS ? А потом удивляться - ой, взломали ?

[Adamos]

Ярослав Александров, а кому вы, собственно, предполагаете платить за поддержку и обновление самописной системы?
Придется тратиться на своих разрабов, это довольно очевидно. Как очевидно и то, что затевать самописную систему без планов содержать свою команду поддержки этой системы глупо.

Александр Фалалеев, я перестал платить Bitrix tax после того, как в результате очередного штатного обновления Битрикса тупо перестала работать функция COrder::setPaid(). А поддержка Битрикса, которая была мне обещана при покупке лицензии, две недели жевала сопли и предлагала обновиться еще и подождать следующего обновления. Так что утрировать и рассказывать, как я сам во всем виноват - не надо.

[Александр Фалалеев]

Adamos,

Придется тратиться на своих разрабов, это довольно очевидно. Как очевидно и то, что затевать самописную систему без планов содержать свою команду поддержки этой системы глупо.

И возможно это выйдет намного дороже чем обновления лицензии Битрикса

тупо перестала работать функция COrder::setPaid()

Да косяки встречаются - но они есть всегда и у всех. И Битрикс тот-же уже больше года не может поправить ошибку возникшую после одного из обновлений в древнем модуле "Блоги" - но как это относится к обновлениям безопасности и проблемам взлома ?

[Adamos]

Александр Фалалеев,

И возможно это выйдет намного дороже чем обновления лицензии Битрикса

Если прямо все писать с нуля - наверняка. Но есть достаточно открытых и бесплатных продуктов, которые позволяют заметно снизить и сроки разработки, и стоимость поддержки, и при этом про них, как "про всех", почему-то не сыплются новости об очередной эпидемии взломов. Хотя эти "все" локализованы одной-единственной страной, а не лидируют по миру, как бесплатный WordPress, например.

[Александр Фалалеев]

Adamos, ну вот тут Вы совсем уж неправы - никакой эпидемии взломов Битрикса (с актуальными обновлениями) не было уже больше 10 лет как я помню. А вот тот же WP через плагины ломают по всему миру раз в квартал примерно (а Битриксу для "обычного" сайта вообще сторонние плагины не нужны в 99% случаев). Я не хочу сказать что Битрикс лучше WP прямо-таки во всём, но вот в плане безопасности "из коробки" - да, лучше (разумеется специалист и WP нормально защитить может - я про именно "из коробки").

[Adamos]

Александр Фалалеев, вообще-то насчет безопасности все наоборот.
WP не ломали вообще - дыры находят только в сторонних плагинах, среди них много распространенных, но взламывают обычно популярные, но не уникальные, так что затрагиваются только те сайты, которые их использовали.
А у Битрикса "из коробки" навалено тесно связанных между собой копролитов, дырка в любом из которых позволяет поиметь всю систему. Причем зная, что какой-то модуль уязвим, можно целиться в любой сайт, реализующий такой функционал, и с уверенностью его ломануть.

Ну, и если просто посмотреть в логи сервера, где лежит сайт на Битриксе, и увидеть, сколько ботов долбят его в поисках дыр ВордПресса...
Безопасность Битрикса - это классический Неуловимый Джо. Вот он кое-кому понадобился - и что мы видим? Не-эпидемии? Потому что у обновленных все нормально? Да просто для масштабной атаки достаточно и того большинства, которое не обновляется.

[RESURT]

Adamos, а зачем вы в ядре меняете свой код? Только тогда обновления что-то меняют, ваш код должен быть отдельно, код битрикса отдельно, надо это понимать, а не перетирать свой код при каждом обновлении битрикса

[Adamos]

RESURT, а вы уже перестали пить коньяк по утрам?