Форум
1С-Битрикс http://www.1c-bitrix.ru Общие вопросы info@1c-bitrix.ru Приобретение и лицензирование продуктов : sales@1c-bitrix.ru Маркетинг/мероприятия/PR marketing@1c-bitrix.ru Партнерская программа partners@1c-bitrix.ru Мы работаем с 10:00 до 19:00 по московскому времени. Офис в Москве 127287 Россия Московская область Москва 2-я Хуторская улица дом 38А строение 9 Офис в Калининграде +7 (4012) 51-05-64 Офис в Калининграде 236001 Россия Калининградская область Калининград Московский проспект 261 Офис в Киеве ukraine@1c-bitrix.ru Телефон в Киеве +3 (8044)221-55-33 Офис в Киеве 01033 Украина Калининградская область Киев улица Шота Руставели 39/41 офис 1507
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 
Политика конфиденциальности
Name already in use
bitrix_utf8 / bitrix / modules / main / spread.php /
- Go to file T
- Go to line L
- Go to definition R
- Copy path
- Copy permalink
- Open with Desktop
- View raw
- Copy raw contents Copy raw contents
Copy raw contents
Copy raw contents
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters. Learn more about bidirectional Unicode characters
ru_anticms
Собственно таким вот образом можно прочитать свежую документацию 1C-Битрикс 7.x на любом сайте его использующем, включая секлаб. Таким образом можно однозначно понять какие модули Битрикса стоят, а какие нет (по содержимому справки слева). Неплохой подгон. 😀
Ссылка формируется таким образом, чтобы мы не могли покинуть директорию /bitrix/help/ru/source/ — справо-налево и с разделителями %2F. Однако это всё равно позволяет распознавать как (по какому из двух способов) сконфигурирован Битрикс привычно читая Forbidden.
В админку нас естесственно не пускают и попытка выйти за пределы приводит к сбросу соединения. Битрикс вообще пугливый.
Но мы пойдём другим путём.
Вот тебе бабушка тупая как пробка XSS.
Вот тебе дедушка инклюд файлов в тот же фрэйм (подгружаемый JS можно использовать дальше в URL).
Вот тебе внучка мой аватар. Для вставки кода, фильтр необходимо убедить что перед ним GIF 100×100 до 10Кб. Вот тебе жучка и премия рунета 2008 за вклад в развитие оного рунета. Не помню как зовут остальных героев сказки, поэтому засим остановимся.
Собственно мне с этих ребят смешно. И особо смешно. На фоне этого даже меркнет возможность регистрации с логином & nbsp; (пробел), & nbsp;& nbsp; (два пробела) и т.д. Эти люди научат вас безопасности, ага. 😉
Общеизвестно, что Битрикс хорош на сверхвысоких нагрузках и его используют такие высоконагруженные сайты как Эльдорадо, Cosmopolitan и PC Magazine и т.д., и т.п. Между тем имею давнее наблюдение, что чем более глобальный ресурс админится, тем более ушастые люди его админят.. =)
Расскажу немного о платформе 1C-Битрикс 7.x. Уверен, что пример выше должен однозначно доказывать, что безопасность 1С-Битрикса состоит в том что мало кто из простых людей его эксплуатировал и многих пугает уже само это слово. За Битриксом стойко закрепилась слава самой сложной CMS из существующих, которой надо учиться на специальных курсах. Тем более читателю будет интересно узнать, что за "ноу-хау", что за сверхсекретные технологии используются в данной разработке.
Начнём с технологии переноса пользователей между сайтами. В принципе, чтобы заюзать эти курсы, сейчас не требуется даже авторизация (аналогично справке выше), поэтому поделюсь ссылкой.
Итак: Каждая поставка 1С-Битрикс позволяет держать два сайта (можно докупить лицензии на увеличение их числа) для которых будет вести единая статистика, а пользователь зашедший на один из них — авторизован сразу на всех. Всё здорово, только как это достигается?
Каждый сайт Битрикса содержит набор IFRAME’ов (которые его безбожно тормозят, создавая Битриксу репутацию самой тормозной CMS), в каждом из которых вызывается скрипт http://доменное имя сайта/bitrix/spread.php с того домена на который необходимо установить cookie. Надо ли говорить как все мы любим устанавливать cookie? =)
В аргументах spread.php будет передана информация необходимая для установки cookie. Эта информация передается в зашифрованном виде и подписана зашифрованным лицензионным ключом этого портала. Собственно, все эти данные прекрасно снифиряться любым посетителем любого из сайтов, а расшифровка их необязательна так как мы можем просто захотеть "втереться" в доверие к 1С-Битриксу со своим сайтом.
Как это сделать? Ответ на этот вопрос мы найдём там же — в документации Битрикса. Цитирую:
Важно! Будьте внимательны при указании доменных имен сайта. Если на сайте используется технология cookies, то в случае некорректного указания доменных имен при просмотре пользователем страниц вашего сайта также будет выполняться обращение и к другому сайту (доменное имя которого указано по ошибке).
Если на сайте, доменное имя которого указано по ошибке, предусмотрен показ всплывающих окон, то посетителям вашего сайта также будет выполняться показ этих окон.
Например, если для сайта http://demo.bitrixsoft.com/ вместо demo.bitrixsoft.com указано demo.bitirxsoft.com, то в код страниц сайта http://demo.bitrixsoft.com/ будет добавлен код вида:
< IFRAME style = "width:0px; height:0px; border: 0px"
k=9e8de698c64709edf2e76202279ce889" >< / IFRAME >
В результате посетителям сайта http://demo.bitrixsoft.com/ будет выполняться показ всплывающих окон сайта с доменным именем demo.bitirxsoft.com.
Оценили? А может ли защититься от этого владелец сайта на Битриксе? Цитирую документацию:
Каждое доменное имя является «маской», т.е. может включать субдомены. Например, по имени site.ru могут быть выбраны www.site.ru или www1.site.ru, а также my-site.ru. В данном случае site.ru частично входит в состав всех трех доменных имен.
Как мы видим ошибаться необязательно. Кто первый зарегестрирует besecuritylab.ru? ))
А дальше? А дальше Live HTTP Headers для Firefox нам поможет в изучении существующих сайтов на 1С-Битрикс 7.x Сайты сопряжённые (в рамках лицензии 1С-Битрикс и супер-айфреймовой-технологии) могут оказаться чёрным ходом. Для securitylab.ru таким сайтом является некий bsau.ru. Для остальных популярных сайтов на Битриксе найдите пары самостоятельно, узнаете много интересного.
Какой вывод надо сделать из уже изложенного? Ребята из 1С-Битрикс наплевательски относятся к целому ряду аспектов полагая что их безопасность дело рук самого пользователя. Открытость справки и других подобных разделов во всех известных мне интернетах, включая 1c-bitrix.ru — ничто иное как нежелание пользоваться средствами того же Apache для защиты директорий. Права же выставлены такими, какими их поставил инсталятор. Напоминаю, что Битриксы живут не только в *nix, но и под w2k/w2k3/w2k8. Собственно оттуда и приползли, имеют отдельную ветку для asp .net. Проблема эта тянется походу ещё с версий 4.x, в которых права были такие, что можно было просто читать логи не являясь админом.
По документации красной строкой проходит программирование (которое вообще-то должно быть чуждо пользователю CMS). Возвращаясь к документации, отсюда следует такой момент как написание индексного файла для переключения между открытыми сайтами на Битриксе по-образцу из документации силами самого пользователя. (!) Конечно, как правило эти файлы пишут внешние молодцы и проект на Битриксе стоит существенного капитала. Но! Часть клиентов 1С-Битрикс предпочитают сэкономить, а часть аутсорсеров-гастрабайтеров элементарно не умеет писать безопасный php. Я намекаю: значительная часть. Таким образом, именно индексные файлы и разного рода "перебрасывалки" с домена на домен оказываются бажными. Потому что действует человеческий фактор.
Разумеется, вся приведённая информация опубликована исключительно в ознакомительных целях. Ну и там, вишесы коллегам по HackAROUND. Спешал фо бисекьюр. )
[ 06.02.09 ] update @ Как и ожидалось. Securitylab и PC Magazine среагировали. Первые поменяли права на папку, вторые удалили её нафиг. 1C-Битрикс только что закрыл дыру на своём сайте — начал фильтровать аргумент, но права остались теми же. Что оставляет возможность узнавать комплектацию проинсталлированного Битрикса. Поскольку начали поступать сообщения, что ссылки в этой статье не работают: Причём, даже str0ke написал что он "не может это сделать". Да, они не работают. Специально для этих четателей: OK парни, у вас уязвимо
Массовый дефейс серверов “1С-Битрикс: Управление сайтом” и мероприятия по противодействию ему
26 мая 2023 года произошёл массовый дефейс серверов российского национального сегмента сети интернет. Целью настоящей атаки стала система управления контентом Bitrix. Выяснилось, что массовые взломы были осуществлены заблаговременно начиная с 2022 года с использованием известных уязвимостей таких, как CVE-2022-27228. А именно, злоумышленники разместили бэкдор, позволяющий создавать произвольные файлы и запускать команды операционной системы. Около 14:00 26 мая бэкдор получил команду, при помощи которой была заменена главная страница сайта. На форуме разработчиков размещено техническое описание данной атаки.
В подобной ситуации наиболее простым решением послужило бы восстановление файлов взломанного сайта из бэкапа. Но в данном случае устранить проблему таким образом не получится, так как бэкдор уже находится в восстанавливаемой резервной копии. А это предоставляет злоумышленникам возможность произвести атаку повторно. Более того, поскольку уязвимость не была устранена, злоумышленники смогли снова взломать сервер и разместить там уже модифицированный бэкдор.
Целями атак послужили:
- Все версии “1С-Битрикс: Управление сайтом” не получившие последних обновлений.
- Версии “1С-Битрикс: Управление сайтом” получившие последние обновления, но имеющие не закрытые уязвимости.
- Версии “1С-Битрикс: Управление сайтом” получившие последние обновления, но содержащие установленный бэкдор.
Описание атаки
Атака 26-го мая состояла из следующих этапов:
- Был заменён файл index.php в корневой директории приложения.
- В PHP-скрипты модулей был встроен вредоносный код.
- Был удалён файл /bitrix/.settings.php .
- Были созданы скрипты агентов, содержащие вредоносный код, либо были модифицированы существующие скрипты.
- Были удалены данные из таблиц базы данных b_iblock , b_iblock_element , b_iblock_element_property .
- Во всех директориях веб-приложения были созданы файлы .htaccess .
- В директории /bitrix/admin/ были созданы PHP-скрипты с произвольными именами файлов.
Мероприятия, необходимые к проведению после заражения
В случае успешного заражения узла рекомендуется проведение некоторых мероприятий, направленных на выявление признаков заражения.
“1С-Битрикс: Поиск троянов”
Во-первых, из каталога решений необходимо установить модуль “1С-Битрикс: Поиск троянов” и произвести сканирование. Для чего в панели управления сайта нужно перейти в Настройки → bitrix.xscan → Поиск и Поиск (бета) .
Данный модуль произведёт сканирование сайта и покажет найденные подозрительные файлы.
Журналы доступа к веб-серверу
Далее, необходимо проверить факт успешной эксплуатации уязвимости CVE-2022-27228. Проверку можно осуществить при помощи, например, следующей команды:
Аналогичным образом следует произвести проверку POST-запросов с кодом ответа 200 . Нелегитимные запросы могут содержать строки:
- bitrixxx ;
- BX_STAT ;
- BX_TOKEN .
Для проверки BX_STAT лучше применять регулярное выражение BX_STAT[^E] .
Также, следует произвести проверку запросов к файлам с кодом ответа 200 из нижеприведённой таблицы.
Новые вредоносные файлы
В целях обнаружения признаков заражения узла рекомендуется произвести проверку на наличие на сервере нетипичных файлов. Перечисленные в таблице индикаторы компрометации были выявлены при изучении проведённой атаки.
| Имя файла | Директория | Пример команды поиска |
| xmlrpcs.php | Используются различные директории | find ./ -name xmlrpcs.php |
| inputs.php | Используются различные директории | find ./ -name inputs.php необходимо исключить из поиска файл: /bitrix/modules/sale/lib/delivery/inputs.php |
| l.php | /bitrix/src/app/ | find ./ -name l.php |
| /bitrix/tools/spread.php | /bitrix/tools/ /bitrix/ |
|
| access.php wp.php term.php locale.php themes.php network.php container.php router.php wp-login.php |
/bitrix/modules/iblock/lib/biz proctype/ |
любой из файлов в данной директории |
| /bitrix/tools/send_trait_imap.php | ||
| /bitrix/tools/.cas.php /bitrix/tools/.cas.tmp.php |
Кроме того, необходимо обратить внимание на файлы с рандомно сгенерированными именами в корневой директории сайта и в директории /bitrix/admin/ . При изучении атаки были выявлены файлы с нетипичными именами, например:
- /bitrix/admin/f408f2b7df70.php
- /bitrix/admin/8f1c222aae51.php
- /2469a41bac71.php
- /98826/bfd99.php
Модифицированные файлы
Помимо создания новых файлов злоумышленники могут разместить вредоносный код в существующие файлы. Для поиска признаков такого кода следует произвести проверку исходного кода на наличие следующих строк:
- str_rot13
- md5($_COOKIE
- bitrixxx
- eval(base64_decode
- BX_STAT
- BX_TOKEN
- parse_str(hex2bin
- iasfgjlzcb
- QlhfVE9LRU4=
- gzinflate(base64_decode
- C.A.S
- urldecode(base64_decode(hex2bin
Следует обратить внимание на то, что при поиске строки str_rot13 нужно исключить файлы, в которых используется функция str_rot13() :
- /bitrix/modules/main/classes/general/vuln_scanner.php
- /bitrix/modules/socialnetwork/lib/item/logindex.php
- /bitrix/modules/main/lib/search/content.php
Также, при поиске строки BX_STAT рекомендуется использовать регулярное выражение BX_STAT[^E] . Данная рекомендация исходит из того, что аргумент BX_STAT присутствует в легитимных файлах.
При анализе атаки были выявлены следующие файлы с содержанием вредоносного кода:
- /bitrix/admin/security_file_verifier.php
- /bitrix/modules/main/include/prolog_after.php
- /bitrix/modules/main/bx_root.php
Поиск необходимо производить не только по файлам приложения (.php), поскольку при атаке используется техника с записью файла .htaccess для внесения изменений в конфигурацию веб-сервера.
Закрепление доступа
Для устранения последствий атаки необходимо произвести проверку планировщика заданий на предмет наличия нелегитимных задач:
Кроме того, рекомендуется проверить функции, вызываемые на странице со списком агентов, на наличие вредоносного кода. Список агентов находится в файле /bitrix/admin/agent_list.php . Для проведения проверки перейдите в панели управления сайта в Настройки → Настройки продукта → Агенты . Вредоносный агент может называться каким угодно образом, но скорее всего будет визуально выделяться.
Также, необходимо произвести проверку других способов закрепления на узле. Например, карта, описывающая типовые способы закрепления в операционных системах Linux, доступна по следующей ссылке. В свою очередь, по данной ссылке доступен цикл статей, в которых изложен поиск техник закрепления, показанных на карте.
Сдерживание
Если по каким-либо причинам отсутствует возможность произвести обновление CMS до актуальной версии, рекомендуется установить блокировку POST-запросов к уязвимым файлам.
Во-первых, для каждого из сайтов необходимо отредактировать следующие файлы:
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/tools/mail_entry.php
- /bitrix/tools/vote/uf.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/admin/site_checker.php
- /bitrix/tools/html_editor_action.php
- /bitrix/tools/upload.php
А именно, необходимо вставить следующий код перед функцией require_once :
Далее, в конфигурацию веб-сервера необходимо добавить запрещающие правила. Ниже приведён пример таких правил для Nginx:
Также, необходимо установить запрет на прямые обращения POST-запросами к файлам:
- /bitrix/tools/vote/uf.php
- /bitrix/tools/html_editor_action.php
Восстановление веб-сервера
Для очистки заражённого веб-сервера и восстановления корректной работоспособности приложения необходимо провести следующие мероприятия:
- Остановка службы веб-сервера.
- Проверка наличия иного запущенного в памяти PHP-процесса с последующей его остановкой ( kill $(ps aux | grep ‘php’ | awk ‘
‘) ). - Очистка кэша веб-приложения.
- Удаление ранее найденных файлов, содержащих вредоносный код.
- Аналогичным способом проверка резервной копии сайта. При выявлении вредоносных объектов требуется произвести их удаление, либо произвести имплементацию вредоносного кода. Более подробно механизм контроля целостности описан в пользовательской документации “1С-Битрикс”.
- Восстановление файлов сайта из резервной копии.
- Проверка работоспособности всех разделов сайта.
- Обновление PHP и “1С-Битрикс: Управление сайтом” до актуальных версий.
Мероприятия, направленные на защиту веб-приложения
Защита веб-приложения подразумевает использование следующих рекомендаций:
- Перевод сайта на версию PHP 8.
- Обновление “1С-Битрикс: Управление сайтом” до актуальной версии.
- Установка, запуск и настройка согласно рекомендациям модулей “Проактивный фильтр” и “Контроль активности”.
- Проверка веб-приложения при помощи модуля “Сканер безопасности”.
- Закрытие доступа на уровне сервера (.htaccess) к следующим файлам:
- /bitrix/tools/mail_entry.php
- /bitrix/tools/upload.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/tools/html_editor_action.php
- /bitrix/tools/vote/uf.php
Восстановление работоспособности при блокировке сайта
Иногда возникают ситуации, когда сайт может быть заблокирован Национальным координационным центром по компьютерным инцидентам (НКЦКИ) из-за его взлома и незаконного размещения контента, а также использования злоумышленниками для осуществления компьютерных атак на критическую информационную инфраструктуру Российской Федерации. Такие действия нарушают статью 5 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», пункт 5.1 Приказа ФСБ России от 24.07.2018 года № 366 и пункт 9 Правил централизованного управления сетью связи общего пользования, утвержденных постановлением Правительства Российской Федерации от 12 февраля 2020 года № 127.
Следует отметить, что блокировка сайта осуществляется до тех пор, пока НКЦКИ не подтвердит факт удаления контента, нарушающего вышеуказанные нормативные документы. В случае такой блокировки, после устранения нарушений, включая дефейсы, бэкдоры и уязвимости, рекомендуется сообщить об этом команде НКЦКИ.