Взломы и попытки получения доступов к ресурсам фиксировались с конца августа 2024 года. Чаще всего использовался IPv4-адрес 185.125.219.93. Точкой входа были уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Файлы находятся в директории /ajax/ в корне сайта, например /var/www/www-root/data/www/test.by/ajax/.
Эти файлы недостаточно проверяют пользовательский ввод, а также используют небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации, реализовав тем самым удаленное выполнение кода (RCE).
В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.
- Остановить все вредоносные процессы (можно перезагрузить сервер).
- Сменить пароли всех используемых учетных записей 1C-Битрикс и сервера.
- Просканировать сайт на предмет наличия вирусов (признаки вирусов можно найти в сети)
- Обновить 1С-Битрикс и все ее модули (включая Аспро) до последних версий.
- Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — замените на $arParams = json_decode($_REQUEST["PARAMS"]). Этого дополнения достаточно, чтобы злоумышленник не взломал сайт, пока вы обновляете все модули, но, увы, недостаточно для корректной работы ресурса.
Больше полезных материалов в нашем Telegram канале. Вступайте и будем на связи! https://t.me/bf_conversion
