Помощь Взлом сайта USER_TYPE_BOOL_MANAGER

Тема в разделе "Битрикс", создана пользователем Q_BASIC, 13 янв 2020.

Модераторы: mrLom, wpt
  1. Q_BASIC

    Q_BASIC

    Регистр.:
    30 ноя 2013
    Сообщения:
    496
    Симпатии:
    1.192
    Приветствую,

    Сайт на битриксе, влом произошел видимо в августе, но никак себя не выдавал, на днях только скрипт начал редиректить на левые конторы.

    Проблема та же что и тут https://dev.1c-bitrix.ru/support/forum/forum6/topic124938/

    Может кто сталкивался, где дырка, то есть как вирус проник? Какие файлы чистить?

     
    Последнее редактирование: 13 янв 2020
  2. bat

    bat

    Регистр.:
    24 сен 2009
    Сообщения:
    1.089
    Симпатии:
    360
    Первое - самое важное: не хотел ругаться матом, но... БИТРИКС!!! :D
    Второе: Чаще всего палится доступ ФТП, следовательно меняешь логины, пароли, ну и на все остальные доступы тоже
    Третье: делай откат по фронтэнду (на всех нормальных даже дешманских хостингах дапы ежедневные), в БД вирус вряд ли проник
    Четвертое: Если дампов нет (сам виноват), то лопатить только ручками код и сравнивать файлы оригинального (начального дистрибутива) с теми что у тебя на хосте и заменять на чистенькие
    Пятое: БИТРИКС!!!
     
    Q_BASIC нравится это.
  3. Black#FFFFFF

    Black#FFFFFF

    Регистр.:
    19 июл 2007
    Сообщения:
    218
    Симпатии:
    138
    Не соглашусь с предыдущим оратором. Версия битрикс?
    1) базу проверяй обязательно. что-то может быть и там. выкачай перед проверкой.
    2) virus die или же проверь на хостере при помощи ai-bolit.php с параметром -2. прошерсти все логи.
    3) есть проверка модификации модулей ядра в безопасности. ее запусти первым делом. выдаст отличия. настройки - проактивная защита - сканер безопаности
    4) есть возможность перегрузить и закачать все модули ядра
    /bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL10=Y где 10 это день месяца текущего. поддержка битрикса на это шибко ругается. но все же.
    5) права, права хренового хостера. если тебя видят в окружении и могут к тебе что-то записать, на том и аминь. будет повторяться заражение.
    там есть 2-3 файла закодированных битрой, их собственный кодировщик, просто по отчетам проверишь и сравни через google. остальное исключай.
    плюс закинь все в папку local и гить время от времени, включая сторонние модули. а все остальное можно откатить будет.
    6) все шеллы, типа myadmin, bx_1c_import, restore.php, предустановленный рядом phpmyadmin, phpinfo вне битрикса, тестовую аутентификацию и т.п. никогда не оставляй на prod е.
    Если не получится, или заражение продолжится, обращайся. Подчищу, найду по логам: кто откуда и куда.
    И да, кстати.
    7) access log, error log хостера, журнал вторжений битрикс после установления даты заражения проверь (дата создания зараженных включений/дата изменения и будет искомой датой).
    "Вы любите кошек? Да вы просто не умеете их готовить!" (@Альф)
     
    Последнее редактирование: 13 янв 2020
    prefer и Q_BASIC нравится это.