• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела wpt лично.

Помощь Битрикс, защита от вирусов/взлома

kuzmit42

Мастер
Регистрация
9 Янв 2013
Сообщения
132
Реакции
31
Добрый день. Подскажите пожалуйста решение по защите сайта на битриксе.
Вирусы достали, кто как защищает свои сайты ?
Что ставить, и делать чтобы не ломали ?
 
Добрый день. Подскажите пожалуйста решение по защите сайта на битриксе.
Вирусы достали, кто как защищает свои сайты ?
Что ставить, и делать чтобы не ломали ?
Проблема именно в коде, или в защите среды где обитает сам сайт? Если в коде то думаю самое актуальное это юзать проверенную версию нуля, а не ставить самые последние релизы где кроме багов самого движка, еще есть и шеллы, которые пихают добрые дяди, либо использовать лицензию, хотя и в лицензии своей головной боли хватает. По защите среды это отдельный вопрос.
 
Конкретизируйте проблему, выставьте уровень защиты на максимум на на странице настроек в админ панели, ну и хостинг проверяйте.
 
Проблема в том что была куплена лицензия, но она истекла. движок не обновляется.
Я так подозреваю что вирусы заливаются через какие-то дыры в самом движке.
Есть ли какие-то расширения для защиты самой CMS. Приведу пример - на других CMS типа Joomla есть RSfirewall, на вордпресс есть bulletproof-security, и прочие.
Есть ли какие-то решения для защиты от битрикса ?
Может через .htaccess, или другими способами как-то.

П.С. Можно ли админку сайта защищать дополнительным паролем - через .htpasswd, косяки не вылезут ?
 
Последнее редактирование:
Извините, но насмешили.
Я бы особо не смеялся.
Для просмотра ссылки Войди или Зарегистрируйся
Запрос в гугле, и видим кучу статей с уязвимостями данной CMS, и если лицензия закончилась и движок давно не обновлялся - то вопрос о защите актуален )
 
Все практически или устарело, или имеет проблемы со стороны элементов подгруженных в Битрикс. А это означает, что нужно смотреть что качаешь и тем более что ставишь... особенно с Макетплейс. Так что все основные моменты защиты указаны на офф. сайте и тут постами выше.
 
Взломать можно всё что угодно, в том числе и Битрикс лучше использовать последние обновления, и перейти на версию выше 12 ))) ядро же новое. Для защиты достаточно использовать то что говорит сам битрикс запустить сканер безопасности покажет уязвимости которые есть, если лень или не понятно вот ещё одно решения Для просмотра ссылки Войди или Зарегистрируйся + его в том что он на примере с пояснениями покажет где что нужно изменить для чего это нужно, и стоит ли вообще это трогать :)
 
ЗА все время работы с битрикс, ни разу не поймал ни шелл , ни вирус, ничего, система не идеальна, но если гугл показывает статьи 3 летней давности, это еще ничего не значит, по сравнению с битркис та же Joomla! просто решето.
 
Ок, всем огромное спасибо за то что отписались.
И хотел бы еще раз уточнить:
1. Вверху спрашивал уже - но никто так и не ответил.
Если папку site.ru/bitrix/admin/ Закрыть паролем через .htpasswd - глюков не вылезет ?

2. Взял просканировал сайт на вирусы айболитом, понаходил он около 10 файлов.
Изначально подумал что заражение. но потом решил скачать тут битрикс в исходниках, и проверить его. -нашел все те же файлы.
В общем я понял что это не вирусы. Теперь просто интересно что за файлы и зачем они нужны.
Если кто знает отпишитесь.
3stbz8e3se6y.png
 
Это не вирусы и эти папки у тебя должны быть закрыты стандартным битриксовым .access.php файлом (он закрывает всю директорию /bitrix/ и требует авторизации.

Первый файл - это: Настройки > Инструменты > Командная PHP-строка, по факту это и есть shell скрипт, но он закрыт извне паролем.

Вторая - это проверялка целостности сайта (есть в разделе контроля и бекапа) - по факту тоже шелл скрипт, так как ему надо считать чексуммы файлов битрикса и сравнивать с оригиналом.

Те что include и start - просто обфусцированы, там кроется механизм лицензии битрикса и ее истечения.

То что в wizard - почти всегда относится к этапу установки и вряд ли ты будешь ими пользоваться позже, само собой там так же нужны операции во всех направлениях.


Про яваскрипт - первый скрипт просто немного коряво написан, этот pullParams надо было до </body> объявлять. Скрипт относится к мобильному приложению и отвечает за автозапрос изменений с сайта.
 
Назад
Сверху