Задать вопрос
@photosho

Вредоносный код на сайте?

На сайте Bitrix время от времени появляется ссылка типа /sellmestore.pw/jquery-ui.js. Читал про какой-то недавний вирус, но есть подозрение, что это что-то другое - там атака была через модуль "vote", но у нас этот модуль отключен, и файлы все равно заражаются. В основном, это "/bitrix/js/main/core/core.js", причем даже не обновляется время изменения файла, и смена атрибутов файла не помогает. Кто знает, может быть, еще появлялась недавно какая-нибудь уязвимость?
  • Вопрос задан
  • 2566 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 3
На самом деле проблема актуальна и широко обсуждается на форуме Bitrix в ветке: Взломаны сайты в честь дня конституции Украины. Рекомендую ознакомится, много информации о причинах взлома, и способах решения проблемы.

Но без обновления БУС решить проблему не получится, так как, без обновления, после удаления вредоносного кода уязвимость остается, и проблема повторяется.
Ответ написан
Комментировать
fStrange
@fStrange
Это все та же уязвимость в модуле vote которую массово используют с 30 июня.
1.
bitrix/js/main/core/core.js
bitrix/modules/main/include/prolog.php
Эти 2 файла поправить.
/bitrix/components/bitrix/main.file.input/main.php
этот удалить.

2.
Помимо этого обычно остаются несколько шеллов в разных местах, их надо искать ручками. Например можно поискать по строке "system($_", пример шелла die(system($_server['http_p'])) , но это не единственный вариант. Если не умеете дать специалисту. (например мне)

3. далее удалить модуль vote

Если вы нормально выполнили п.2 и вычистили все шеллы, то этого будет достаточно без какого либо обновления и покупки лицензии на Битрикс.
Если шеллы вычистили не все, то увы заражение повторят.
Ответ написан
Комментировать
suffix_ixbt
@suffix_ixbt
https://www.babai.ru/
Эта "уязвимость" исключительно дело рук самих вебмастеров которым плевать на свой сайт.

Ни один сайт на котором стоят все обновления Битрикса и не отключён и настроен грамотно модуль "Проактивная защита" взломан не был.

Если же Вы сидите на версии, лицензия на которую закончилась сто лет назад то Вы ССЗБ !

Что делать:

Очищаете файл bitrix/modules/main/include/prolog.php от встроенного кода,
удаляете файл /bitrix/components/bitrix/main.file.input/main.php.
Обновляете ядро и все модули до последней версии.

Если у вас ядро уже последней версии, то файл /bitrix/js/main/core/core.js нужно заменить с чистой установки этой же редакции БУС, т.к. у вас core.js тоже заражен. А при обновлении ядра core.js перезаписывается чистым файлом без заразы.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы