12 апреля была очередная волна взломов. С конца января сайты на Битриксе ломают через уязвимости Аспро, но 12-го прошлись по сайтам с модулем импорта в Excel от kda и esol.
Есть официальный патч от команды esol, хотя нужно постараться чтобы его найти. Ссылка на официальный патч . Там в «обсуждениях» смотреть.
Там неприятная уязвимость использованием команды exec();
На некоторых сайтах через нее добавляют вот такую конструкцию в cron сервера. Цитирую письмо счастья от хостера
|
1 2 3 |
<em>На сервере были подозрительные cron-задачи от пользователя bitrix</em>: */5 * * * * /usr/bin/perl /var/tmp/VZKLlXy >/dev/null 2>&1 */6 * * * * perl /var/tmp/VZKLlXy >/dev/null 2>&1 |
Мы удалили их, рекомендуем проверить файлы пользователя bitrix и при необходимости сменить пароль для этого пользователя.
Я официальный патч чуть подправил в соответствии со своими требованиями. Добавил архивацию исходных файлов, проверку на запись и исправил одну ошибку. + в текущую версию вируса добавили вставку, при который оф патч не срабатывает.
Верхняя строка «403 forbidden» добавлена вирусом чтобы патч от esol считал что уже применен.
У моего патча другой тип проверки , по этому будет работать. Минус что добавляется лишняя проверка если есоловский патч все таки применен, но это не критично.
Ссылка на мой патч к уязвимости от esol kda
Свежие комментарии