Массовый дефейс веб-сайтов, использующих CMS Bitrix

26 мая 2023 в российском сегменте интернета произошла массовая атака и дефейс сайтов, использующих CMS Bitrix.

Начиная с 2022 года злоумышленники массово взламывали сайты через известные уязвимости CMS Bitrix и устанавливали на сервер бэкдор, позволяющий создавать произвольные файлы и вызывать команды ОС. 26 мая с помощью установленного бэкдора был произведен массовый дефейс сайтов на Bitrix.
dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message731078/#message731078

Если ваши сайты на CMS Bitrix, обязательно изучите техническое описание атаки и проведите профилактические мероприятия на сервере:
telegra.ph/hck-bx-0526-05-26

1. Проверьте по журналам доступа к WEB-серверу факт эксплуатации уязвимости CVE-2022-27228 (одна из самых часто используемых для взлома).
helpdesk.bitrix24.com/open/15536776/

Пример команды поиска:
grep -E 'POST/bitrix/tools/(html_editor_action.php)|(vote/uf.php)' /var/log/www.access.log* | grep' 200 '

2. Проверьте, что модуль CMS Bitrix «Опросы, Голоса» (vote) не ниже версии 21.0.100. При необходимости, обновите версию данного модуля.

3. Установите «1С-Битрикс: Поиск троянов», запустите сканирование. Панель управления сайтом → Настройки → bitrix.xscan → Поиск и Поиск (бета). Модуль отсканирует весь сайт и отобразит выявленные подозрительные файлы.
marketplace.1c-bitrix.ru/solutions/bitrix.xscan/

4. Проверьте наличие бэкапов и корректность их создания. Бэкапы могут помочь вам в восстановлении заражённых и удалённых файлов.
Выделенные серверы OVH
Выделенные серверы Hetzner

0 комментариев

Оставить комментарий