Дайджест безопасности сайтов #1: Сводка с начала 2025 года

10 апреля 2025 | 278 | 10 минут

Стартуем важную рубрику: дайджест безопасности сайтов. Рассказываем только с тем, с чем приходилось работать и устранять последствия.

В выпуске:

1. Взлом Аспро
2. Проблемы с правами на папки и файлы
3. Переборы типовых "технических" файлов
4. Множественный .htaccess
5. Заражения через cron
6. Взломанные лицензии Битрикса

1. Взломы Аспро

Начнем с самого наболевшего для всех владельцев сайтов на Битриксе. Начало 2025 года ознаменовалось массовыми взломами решений Аспро (Максимум, Некст) через php функцию unserialize. Суть в чем: в устаревших версиях php она принимала только один параметр, через который можно было закинуть на сервер эксплойт и в дальнейшем получить доступ ко всем папкам и файлам. Взлом решается добавлением в unserialize второго параметра. Крайне важно эту операцию провести по всем файлам сервера, где встречается эта функция.

2. Проблемы с правами на папки и файлы

Тема очень старая, но постоянно всплывает. До сих пор на новых проектах, которые заходят к нам на техподдержку, мы видим права 777. А потом владельцы сайта удивляются, почему так много мусора появляется, и почему так часто взламывают. Проблема наблюдается чаще всего на WordPress. Отчасти могу это объяснить тем, что владельцы сайтов на вордпрессе в общей массе менее технически подкованы, чем владельцы проектов на других системах управления.

3. Переборы типовых "технических" файлов

Суть попыток взлома заключается в следующем: внешними запросами злоумышленник бомбит наиболее вероятные "технические" файлы, которые могли оставить после себя разработчики. Часто в таких файлах харнится конфиденциальная информация, либо автологин в админку. На картинке ниже представлена типовая картина подобного перебора.

Видим что идут попытки стучаться в файлы, которые хоть как-то могут быть связаны с пользователями и их данными.

Как лечить? Самое главное - не оставлять "следы разработки" и всякие такие "технически-системные" штуки. Более того, на боевом проекте они никогда не нужны. Продвинутый уровень - при обнаружении подобных переборов - автоматически блокировать IP злоумышленника. 

4. Множественный htaccess

Суть метода: после получения доступа к серверу скрипт формирует htaccess файлы в каждой папке сайта. Таких файлов может быть десятки и сотни тысяч. В каждом из них простое правило, которое разрешает доступ к текущей папке и дает возможность из нее выполнять php, python и perl скрипты. Будьте уверены, ничего полезного там для вас не будет :) 

После возникновения такого заражения сайт обычно начинает отдавать ошибку доступа 403.

Как лечить? Вычистить всю эту дрянь (есть команды ssh, которые позволяют это сделать довольно быстро) и искать дыру в безопасности, через которую всё это пролезло.

5. Заражения cron

Встретился с этим совсем недавно на сайтах Аспро (1С-Битрикс). Суть заражения - в Crontab от пользователя bitrix добавляются правила, которые каждые несколько минут дергают зараженный скрипт. В моем случае это был рассыльщик спама. Зараженный кронтаб выглядит примерно так:

Искать это добро надо в папках: etc/, etc/cron, /var/spool/cron. 

Решать надо максимально быстро. Хостинг провайдеры справедливо блокируют сервера-рассыльщики спама.

Как лечить? Сначала находим и вычищаем крон задание. Затем меняем пароль пользователя bitrix, затем проводим полное сканирование сервера на предмет наличия зараженных файлов. Удаляем их. Смотрим логи и ищем в них что-то нетиповое, и смотрим куда это стучится.

6. Взломанные лицензии Битрикса

Казалось бы, банальная вещь, но встречается до сих пор. Довольно редко, но бывают ситуации, когда к нам приходят на поддержку сайты на взломанных лицензиях Битрикса. 

Мы такие сайты не берем в обслуживание ни при каких условиях!

Чем это чревато владельцу сайта? При обнаружении взломанной лицензии правообладатель может подать на вас в суд. Из менее страшного, ваш сайт будет подвержен атакам, так как он не может обновляться. Более того, ваш "разработчик" (чаще всего - это школьник, скачавший ломаный битрикс) не может проверить, что уже сейчас там "под капотом". Скорее всего ваш сайт будет инфицирован уже сразу после установки на сервер. Более того: заведомо открывать бизнес с обмана - очень плохой знак. Вероятность того, что ваш бизнес будет развиваться близка к нулю.

Что делать? Если вы знаете, что ваш сайт на взломанной лицензии Битрикса и вас это устраивает - ждите претензии от правообладателя. Если вы об этом не знаете, или не уверены - то можете проверить свой код лицензии на сайте 1С-Битрикс, либо обратиться к нам, мы проверим. Если проверка покажет именно такую ситуацию, а вы эту лицензию покупали, то вы имеете право подать в суд на своего разработчика, т.к. налицо факт мошенничества.

До встречи в следующих выпусках! Будьте в безопасности!