• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела wpt лично.

Помощь Взлом сайта USER_TYPE_BOOL_MANAGER

Q_BASIC

Хранитель порядка
Регистрация
30 Ноя 2013
Сообщения
516
Реакции
1.240
Приветствую,

Сайт на битриксе, влом произошел видимо в августе, но никак себя не выдавал, на днях только скрипт начал редиректить на левые конторы.

Проблема та же что и тут Для просмотра ссылки Войди или Зарегистрируйся

Может кто сталкивался, где дырка, то есть как вирус проник? Какие файлы чистить?

 
Последнее редактирование:
Первое - самое важное: не хотел ругаться матом, но... БИТРИКС!!! :D
Второе: Чаще всего палится доступ ФТП, следовательно меняешь логины, пароли, ну и на все остальные доступы тоже
Третье: делай откат по фронтэнду (на всех нормальных даже дешманских хостингах дапы ежедневные), в БД вирус вряд ли проник
Четвертое: Если дампов нет (сам виноват), то лопатить только ручками код и сравнивать файлы оригинального (начального дистрибутива) с теми что у тебя на хосте и заменять на чистенькие
Пятое: БИТРИКС!!!
 
Приветствую,

Сайт на битриксе, влом произошел видимо в августе, но никак себя не выдавал, на днях только скрипт начал редиректить на левые конторы.

Проблема та же что и тут Для просмотра ссылки Войди или Зарегистрируйся

Может кто сталкивался, где дырка, то есть как вирус проник? Какие файлы чистить?

Не соглашусь с предыдущим оратором. Версия битрикс?
1) базу проверяй обязательно. что-то может быть и там. выкачай перед проверкой.
2) virus die или же проверь на хостере при помощи ai-bolit.php с параметром -2. прошерсти все логи.
3) есть проверка модификации модулей ядра в безопасности. ее запусти первым делом. выдаст отличия. настройки - проактивная защита - сканер безопаности
4) есть возможность перегрузить и закачать все модули ядра
/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL10=Y где 10 это день месяца текущего. поддержка битрикса на это шибко ругается. но все же.
5) права, права хренового хостера. если тебя видят в окружении и могут к тебе что-то записать, на том и аминь. будет повторяться заражение.
там есть 2-3 файла закодированных битрой, их собственный кодировщик, просто по отчетам проверишь и сравни через google. остальное исключай.
плюс закинь все в папку local и гить время от времени, включая сторонние модули. а все остальное можно откатить будет.
6) все шеллы, типа myadmin, bx_1c_import, restore.php, предустановленный рядом phpmyadmin, phpinfo вне битрикса, тестовую аутентификацию и т.п. никогда не оставляй на prod е.
Если не получится, или заражение продолжится, обращайся. Подчищу, найду по логам: кто откуда и куда.
И да, кстати.
7) access log, error log хостера, журнал вторжений битрикс после установления даты заражения проверь (дата создания зараженных включений/дата изменения и будет искомой датой).
"Вы любите кошек? Да вы просто не умеете их готовить!" (@Альф)
 
Последнее редактирование:
Назад
Сверху