Бэкдор в 1С-Битрикс: под угрозой сотни сайтов

964dda3fc503a6684067209df5971b16.png

Субботний вечер омрачен скандалом: сайт не работает, админы — негодяи, а сервера — решето. Вызов принят, или почему при всей нелюбви к 1С-Битрикс в данной ситуации пострадали не только лишь все?

Какое-то время назад некоторые пользователи начали сообщать о том, что их любимый сайт взломан, в лучшем случае он просто не работал, в худшем — показывал рекламу средств для улучшения KPI. Пока это были единичные случаи, но после 3–4 однотипных взломов на разных платформах уже есть основания полагать, что где-то закралась дырка, которую активно эксплуатируют.

Вообще, взлом CMS это не такая редкая штука. Постоянно то и дело появляются разные нескучные уязвимости которые эксплуатируют все, кому не лень. Сложнее всего тогда, когда компоненты сайта, которые построены на каких-либо массовых платформах не обновляются, их взламывают, и хуже, когда это происходит массово. Но по специфике работы не привыкать к анализу таких проблем, выяснением «кто виноват» и самое важное тут убедиться в том, что дело именно в сайте.

Анализируя содержимое сайта, что первое бросается в глаза, так это наличие нехарактерного мусора:

e99d8b916cb55cd9f7fabc59bac747d8.png

Таких файлов, как правило, быть вообще не должно. Хорошо, смотрим на дату создания таких файлов и лезем в логи для анализа что происходило на сайте в какой-то промежуток времени. Тут всё оказалось проще, чем хотелось бы:

21e6d31b070df1daae392d4c0ae35b97.png

Видно простой перебор файлов по словарю. Все запросы летят с одного IP, а главное, видно файл new.php, который вместо 404 вернул редирект 302, и сразу после этого видим POST на /bitrix/admin. Вау! Что же это такое?

А это — красота:

d18c2a091298b622bd3900053ee2d9e4.png

Те, кто хоть раз в жизни писал код для битрикса, сразу же поймет что этот код делает. А кто не писал, то всё просто: делает авторизацию под пользователем с ID=1, который как правило является админом сайта.

Пробегаемся поиском по паттерну и находим сразу три таких файла:

bitrix/admin/mobile/new.php
bitrix/tools/new.php
bitrix/new.php

Хэш — 1964d7215f3944fa7a086d590b02152c

Все одинаковые, все делают одно и то же. Удаляем их, откатываем сайт из бэкапа, проверяем что в системных файлах битрикса ничего лишнего нет, и на всякий случай откатываем БД — вдруг там тоже есть что-либо лишнее.

Почему не только лишь все?

Проанализировав все случаи взлома был получен неутешительный вывод: все те, кого взломали, использовали хакнутый Битрикс. Да, Вы не ослышались — вечной демо-версией продукта уже никого не удивишь. Мало того, что это нарушение авторских прав, так ещё и так подвергать свой бизнес опасности взлома обычным ботом. Надо уметь!

Держите свои сайты в безопасности и не позволяйте случаться таким неприятным ситуациям.

© Habrahabr.ru