На одном из проектов на CMS 1c-Bitrix столкнулся с тем, что автоматически через секунду-две после загрузки сайта идет автоматический редирект на какие-то казино, эротику и т.п.
В ноябре 2024 года была продлена лицензия, обновлен движок, решения, обновлено все — все что можно. PHP поднял до 8.3.
Проблема исчезла временно.
Да, появились ошибки, свойственные переходу на версию 8 (старый код был на PHP 5 заточен) — заключались в том что некоторые страницы не воспринимали переменные String.
Но, проблема пока что не решена! Через несколько дней началось то же смамое.
Было установлено что в папке /bitrix/html_pages/ появляется папка с именем домена. В ней в моем случае лежало порядка 25000 папок вида «1a1a7042.shtml» внутри которых всего один файл с именем index@.html
Что-то создает эту директорию и забивает ее содержимым на подмену как минимум главной страницы.
Поиск по содержимому дал следующий результат — имя директории «/bitrix/modules/translate/html_pages» было добавлено в файл autoload.php в сонстанту IGNORE_BX_NAMES
const IGNORE_BX_NAMES = array(
...
'/bitrix/html_pages',
...
);
И второе вхождение имени директории «html_pages» также было найдено в файле /bitrix/modules/main/tools/cron_html_pages.php
1 && intval($argv[1]) > 0 ? intval($argv[1]) : 24;
$validTime = time() - $hours * 60 * 60;
$bytes = \Bitrix\Main\Composite\Data\FileStorage::deleteRecursive("/", $validTime);
\Bitrix\Main\Composite\Helper::updateQuota(-$bytes);
Посмотрев его содержимое, мне показалось что этот файл уже одна из частей заражения. Удалил файл — сайт работает нормально.
Смотрим файл /bitrix/modules/main/include/prolog_before.php
Судя по коду — это тоже часть заражения. Удаление этого файла ложит сайт. Разбираемся дальше.
После стандартного кода:
Стояла инъекция:
Удаление этого кода оставило сайт работоспособным. Но почему-то SUCURi все еще видит инъекцию в коде. Возможно это кеш.
В /bitrix/header.php снова появился код. И похоже его стало больше.
Кроме этого нашел в папке /bitrix/admin/ вновь созданные файлы как со смысловым именем типа info.php так и с набором символов в имени вроде bkzjx2r67.php
Нашел инъекцию в файле /local/templates/»your template»/footer.php
Три вставленных DIV со свойством display:none
sexy video download picture zatube.mobi indian xvideo porn
hentai good girl hentaimangaz.com female deku hentai
probinsyano july 9 2018 philteleserye.com andrew schimmer wife update today
ana maria cordoba nude pornpakistani.com kumaraswamy radhika
kancolle collection hentai hentaisa.com rape mod
بزاز جمده hardpornovideos.com مصراوي سكس
فيلم سكس مايا خليفه maffnet.org فيلم سكس محارم
سكسبنات superamateurtube.com نيك كوري
افلام كورية سكس felltube.com جنس مترجم عربي
chunibyo hentai hentaiweb.net kukaku shiba hentai
راهبه تتناك hihitube.com نيك مترجم محارم
sssmovies yourporn.name south indian aunty fucking
indan six video xxxindianporn.org xhamaster hd
xxxin tubeporncity.info tub 99.com
bangladeshxvideo gotporn.mobi forced mom sex