Злоумышленники пытались воспользоваться уязвимостью в программных продуктах «Аспро» для интернет-ресурсов на 1С-Битрикс. Проблема в ряде скриптов позволяет получить доступ к внутренним данным веб-проекта, а также размещать вредоносные файлы: например, для скрытого майнинга.
Как обнаружить и решить проблему
Первый способ закрыть уязвимость — воспользоваться патчером безопасности, который выпустила компания-разработчик. Вспомогательный PHP-скрипт от «Аспро» для работы с файлами модулей обнаружит и обработает данную уязвимость, а также исправит небезопасные реализации unserialize. При использовании патчера безопасности следует руководствоваться рекомендациями разработчика и применять скрипт с осторожностью, поскольку внесенные изменения могут повлиять на работу вашей системы.
Второй способ решить проблему — сделать это вручную. Проверьте, есть ли по следующему пути /корневая директория сайта/ajax/ файлы error_log_logic.php или js_error.txt. Если хотя бы один из них есть, то скорее всего в отношении вашего ресурса
уже были попытки эксплуатации уязвимости.
1) Удалите файл error_log_logic.php, при наличии удалите js_error.txt, js_error.php.
2) Исправьте следующий код в файлах ./form/index.php и /ajax/form.php:
В файлах /form/index.php и /ajax/form.php:
Замените строку
elseif($form_id == 'TABLES_SIZE'):
на
elseif($form_id == 'TABLES_SIZE' && false):
В таком случае полностью устраняется вероятность чтения файлов через form/index.php или /ajax/form.php и создание файла js_error.txt через error_log_logic.php. Этого достаточно, чтобы злоумышленник не взломал сайт, пока вы обновляете все модули, но
недостаточно для корректной работы ресурса.
Также необходимо проверить ресурс на наличие вредоносных процессов и, при их наличии, остановить их. После этого обязательно смените пароли всех используемых учетных записей 1C-Битрикс. А затем проверьте, есть ли в административной части сайта нелегитимные пользователи, и удалите их.