Новый вирус под Битрикс, который использует уязвимость модулей интернет-магазинов Аспро
Уязвимость закрывается только вручную, сейчас расскажу как
Буквально вчера от наших клиентов начали приходить письма проверить проблему: товары не добавляются в корзину. Мы занялись анализом и заметили кучу вредоносных файлов в папке /ajax/ в корне проектов.
В папке /ajax/ появились вредоносные файлы со случайными названиями типа fd1fq13132.php, вредоносный .htaccess и php.ini
Первым делом установили все актуальные обновления ядра и модулей, удалили вредоносные файлы, но это не помогло - буквально через несколько минут файлы появились снова. Значит уязвимость не закрыта и ее все еще можно эксплуатировать.
После анализа логов и поиска в интернете мы нашли решение, которое закрывает возможность повторного заражения. Алгоритм следующий:
- Удаляем все подозрительные файлы из папки /ajax/. Это файлы со случайными именами, .htaccess и php.ini. Смотрим git status, все подозрительные файлы сразу будут видны. Вирус не модифицирует файлы сайта, только добавляет свои
- Находим в папке /ajax и /include в поиске по содержимому (можно через админку, можно через IDE) все файлы, содержащие строку unserialize и заменяем на безопасный unserialize ['allowed_classes' => false]. Обычно это файлы: reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, comp_catalog_ajax.php
- Обновляем ядро сайта и модули до последних версий. Запускаем в админке в модуле Проактивной защиты проверку .htaccess, находим и удаляем лишние
- Запускаем в модуле Проактивной защиты Сканирование файлов. Дожидаемся окончания и внимательно смотрим на файлы с тегами obfuscator. Все подряд удалять или исправлять нельзя, нужно в файлах увидеть вредоносное содержимое. Но есть и файлы ядра, которые сканер тоже помечает этим тегом, будьте осторожны
- На всякий случай меняем пароли Администраторов сайта
Готово!
После выполненных манипуляций на атакуемых проектах появление вредоносных файлов прекращается, считаем уязвимость закрытой.
Пишите нам, если нужна помощь! Специализируемся на крупных проектах на Битрикс.
Статью подготовил Дмитрий Ануфриев, директор "WL, digital-агентство"
Пишите в телеграм: @im_ad_min или на почту director@weblipka.ru
Мечта собственника — сильная команда и высокая производительность. Но риски для компании мало кто осознает. Рассказываем, как предпринимателю понять мотивы сотрудников, есть ли угроза мошеннических схем, подделок документов, утечек информации и финансов.
Эксперты обнаружили новый способ атаки, при котором даже продвинутые пользователи могут стать жертвами хакеров.
Если вы только начинаете своё дело, то можете столкнуться с путаницей в бухгалтерских вопросах. Опоздание с налогами или взносами — частая ошибка новичков. Однако её можно легко исправить. Читайте статью, чтобы узнать все важные нюансы.
Последнее время на практике участились обращения, связанные с ИТ-аудитом систем. Чаще всего клиенты обращаются по вопросам рефакторинга, отладки обменов с внешними системами, новых функций и составления дорожных карт по развитию проектов. Но особенно часто встречаются запросы на оптимизацию производительности.
Иногда клиенты приходят с неожиданными историями. И эта была именно такой…
Найти виноватых? Легко — пусть это будет народ! Есть ощущение, что кто-то явно путает причины и следствия...
Защита информационной безопасности бизнеса становится все более важной задачей. На первый взгляд может показаться, что мошенников интересуют крупные предприятия, однако это мнение ошибочно. Риски, связанные с информационной безопасностью, представляют угрозу для организаций любого размера и из различных секторов экономики.
Вы доверяете фрилансерам, а не агентствам разработку сайта? Этот кейс покажет, к чему это может привести. Компания «Woodnext» заказала у нас сайт с продающей структурой и текстами, но под конец работы сотрудник-фрилансер сорвал все договоренности. Читайте до конца, как нам удалось спасти проект!
Мой обеденный кофе прервался. Начали приходить уведомления от мониторинга, что сайт и API не отвечают, а CloudFlare отдаёт 521-ю ошибку на все запросы. Спустя пять минут ко мне в личку пришли пользователи с жалобами на неработающие приложения. А ещё спустя пять позвонил сооснователь проекта и сказал, что от нас требуют $250 за остановку DDOS'a.
Блокировка карточек товаров на маркетплейсе Wildberries из-за претензий о нарушении интеллектуальных прав — серьёзная проблема, с которой сталкиваются многие продавцы. В этой статье мы подробно рассмотрим механизмы блокировки, возможные последствия и эффективные стратегии защиты, подкреплённые реальными примерами и иллюстрациями. Мы не допустили бл…
Финт с json_decode - решение временное. Если не обновлять дырявую аспро поделку - то функционал слетит. Всё-таки Суть json_decode и unserialize - разная.
А обновлять аспро далеко не всегда есть возможность. Многое обычно перепиливается так, что не особо обновка поможет. Я не говорю про шаблоны, которые можно сделать _custom, я про более глубокие доработки.
Можно использовать как временную заплатку и не более того.
У кого случилось несчастье под именем Аспро - придется вкладывать деньги в заплатки. Полумерами не обойтись, увы.
В контексте данных файлов просто читается содержимое $_REQUEST. Поэтому решение нормально подходит. В остальных случаях нужно да, смотреть отдельно
Спасибо!
Добрый день!
Подобные уязвимости решили в обновлениях более полутора лет назад. Проблемы могут возникнуть только у тех, кто:
- Использует решения, снятые с поддержки.
- Не обновлял сайт с лета 2023 года.
- Некорректно мигрировал с уязвимой версии на новую.
Если вы сомневаетесь, проверьте версию вашего решения или обратитесь в техподдержку. Для устранения уязвимости используйте новый скрипт или обратитесь за бесплатной помощью через support@aspro.ru.
Подробнее в статье: https://aspro.ru/news/vzlomy-saytov-aspro/.
У вас в статье "Уязвимость unserialise" называется - функция unserialize - опечатка?
Нужно ли добавлять аргументы к другим файлам с этой уязвимостью, например: \bitrix\wizards\aspro\max\site\public\ru\ajax\reload_basket_fly.php
У нас аспро с истёкшей поддержкой и нам сломали сайт сегодня. Злоумышленники подготовили многие файлы ещё до 30 января. Сайт работал. Плохие файлы попали во все бэкапы недельной давности. Но сломалось всё сегодня. Что с БД - пока неизвестно. В логах за последние 14 дней куча обращений к accesson.php и basket_fly.php. Сервер скопировали и выключили. Латаем дыры и оцениваем ущерб. Вредоносный код появился в /index.php /catalog/index.php /templates/aspro_max/footer.php и ещё много где. Появилось около 100 новых директорий со случайными названиями в самых разных местах (modules, templates, upload и т.д.)
У нас сайт с поддержкой, один хрен взломали. Ну и смысл от этих обновлений?