Почему сбрасывается пароль?

Question

[Мария Попова]

После переноса сайта на другой хостинг каждый день сбрасывается пароль от админки.
Пишет что неверный пароль. Но потом пересохраняю новый пароль, какое-то время можно заходить. На следующий день снова пароль неверный.
В админке ошибок нет, в группе пользователей не настроено через сколько менять пароль.

Comments

[Виктор Таран]

1. проблема с сессиями " проверка системы" пройди весь тест.
2. мало вероятно но возможные проблемы с кодировкой бд.
3. шарик у вас вирус, обнови битрикс там теперь есть сканер вирусов!!! https://dev.1c-bitrix.ru/learning/course/index.php...
4. https://virusdie.com/ - 1 сканирование в месяц бесплаптно

[Мария Попова]

Виктор Таран, вирусов нет
проверка системы ошибок не выдала
с кодировкой таблицы проблем нет.
Но Данные сессий хранятся в файлах. может не хранить в файлах?

[Михаил Ливач]

Мария Попова, хранение в файлах - это самый старый и поэтому самый проверенный способ. Сделайте следующее, как только снова слетит пароль:
1) посмотрите в базе значения в таблице b_user в колонках TIMESTAMP_X, PASSWORD, CHECKWORD для выбранного пользователя. Запомните или запишите их;
2) смените пароль у этого пользователя;
3) снова посмотрите значения в базе.

Если PASSWORD и CHECKWORD не изменились - у вас проблема с конфигурацией ПО. Может, база не может записывать данные, может, время кривое, может, ещё что-то.
Если все три изменились, то окей. Ждите, когда доступ сломается.

Когда опять сломается - смотрите значения в базе. Если полностью вернулись старые значения, то:

• это может быть накаткой дампа ( допустим, частичного, только с таблицей юзеров, раз остальное на месте )
  
• это можеть быть вредонос, который ни один детектор вирусов не увидит, потому что это не вирус, а просто запрос к базе "UPDATE b_user ..." с фиксированными значениями. Удачи в поисках такой дряни.
  
  

Если же вернулись значения PASSWORD и CHECKWORD, но обновился TIMESTAMP_X, или обновились все три, то это произошло через вызов API. Это может быть:

• агент Битрикса,
  
• вредоносная запись в crontab,
  
• вредоносный скрипт, доступный в публичной части ( где его дёргает уже подконтрольный злоумышленникам хост).
  

. По крайней мере, значение в TIMESTAMP_X подскажет, когда изменение произошло, и можно поискать в логах nginx или апач подозрительные запросы на этот момент.

Про кронтаб - я встречал взлом хоста с Битриксом какими-то азиатами. Там был Bitrix VA на старом Центосе, так что необязательно это была целевая атака на Битрикс. Вставляли в кронтаб своё с каким каким-то забавным комментарием, типа:

system stability update dont' touch

[Мария Попова]

Михаил Ливач, большое спасибо

Answer 1

[Виктор Таран]

1. проблема с сессиями " проверка системы" пройди весь тест.
2. мало вероятно но возможные проблемы с кодировкой бд.
3. шарик у вас вирус, обнови битрикс там теперь есть сканер вирусов!!!
4. https://virusdie.com/ - 1 сканирование в месяц бесплаптно

Answer 2

[Илья Рупасов]

В настройках главного модуля во вкладке "Журнал событий" выставьте галки для записи изменения профиля, попытки входа и все манипуляции с пользователями.





Дальше уже смотрите, почему меняется пароль. Если в журнале событий ничего не будет интересного, значит детальнее смотрите что происходит в момент авторизации (сессия, 2фа, отп и т.д.)