Проблема с безопасностью сайта на Битрикс, что такое источник внешней авторизации saleanonymous?

Question

[Chainik123]

Здравствуйте! Помогите новичку, и не ругайтесь сильно если вопросы покажутся наивными....

В админ панели Битрикс редакция "малый бизнес", в разделе Журнал событий обнаружил, что периодически пытаются удалить всех клиентов зарегистрированных на сайте. Часть клиентов удалена, часть клиентов удалить не удается в силу ограничений Битрикса (нельзя удалить пользователя с текущим заказом).

Далее начал изучать логи ошибок на хостинге, и увидел ошибки доступа с тегами tag «attack-injection».

Так как я массовых процедур по удалению клиентов не выполнял, то подозреваю что на сайте выполняется некий скрипт, который пытается удалить всех пользователей сайта.

Причем удаление пользователей происходит каждый раз с разных ip, в нескольких случаях заметил совпадение ip с ip зарегистрированного пользователя, пару раз удаление происходило с моего ip. Еще заметил, что постоянно регистрируется новый пользователь с почтой вида anonymous_****@example.com (**** - произвольный набор символов) и у него в столбце "источник внешней авторизации" в списке клиентов стоит надпись - saleanonymous. Я его удаляю, он опять появляется, причем уведомление о регистрации нового пользователя при таких подозрительных регистрациях мне не приходят.

Помогите устранить проблему и ответить на вопросы:
1. что такое источник внешней авторизации пользователя на Битрикс и как его запретить?
2. как остановить удаление клиентов?
3. как запретить регистрацию новых клиентов по маске, например с почтой вида *anonymous* или внешним источником авторизации?
4. И что происходит вцелом? Сайт сломали?
PS: хостеру писал - говорит что ничего подозрительного не обнаружил. Поддержка Битрикса молчит.

Answer 1

[Yuriy]

https://dev.1c-bitrix.ru/learning/course/?COURSE_I...

1. При первом выставлении счета в CRM создается фиктивный пользователь с именем anonymous_[набор символов]. Его удаление приведет к невозможности выставления счетов.

2. Пользователи могут быть лицензированными и активными. Лицензированные - это число пользователей, доступных по лицензии + число дополнительно приобретённых пользователей. Активные пользователи - это пользователи авторизованные на портале в данный момент.
Администратор может работать в административной части со всеми пользователями, но в публичную часть может войти активных пользователей числом не более, чем лицензируемых.

3. При работе Открытых линий для каждого внешнего клиента на портале создается пользователь типа экстранет. Обнаружив таких пользователей в списке пользователей , не пугайтесь, вас не взломали. Это системные пользователи.

4. С версии 15.5.0 при удалении пользователя включена проверка на его участие в шаблонах задач.

Answer 2

[Dimonchik]

хостер не будет работать забесплатно
saleanonymous видимо ж продажа без регистрации - тут ты лучше должен знать, сверяй с другими, моделируй

совпадение ip с ip

если ты смотришь в битриксе, а не в логах - очень самонадеянно
3. только постобработкой
4. или базу сканят или под мейлспам тестят или вообще нормальное поведение

Comments

[Chainik123]

Начал копаться в настройках Битрикса, отключил внешнюю авторизацию на сайте в Главном ядре, сменил свой пароль, удалил всех подозрительных юзеров. И о чудо вижу в журнале битрикса, что кто-то стучится в админку, но пароль не правильный... Не могу только понять как он стучиться - либо пробует как ранее через внешнюю авторизацию, либо при помощи моего старого пароля.

Вот теперь и думаю где дырка: 1) либо через хостинг внедрили возможность для удаленной авторизации, 2) либо пароль утянули с компа при моей авторизации..

[Dimonchik]

брутом можно пароль перебрать? капча появляется?

[Chainik123]

Да заметил, что капчи нет, хотя раньше была. Сейчас набирал неправильно пароль и капчи не было..Спасибо за наводку. Буду пробовать восстановить капчу на админке.