26 мая 2023 в российском сегменте интернета произошла массовая атака и дефейс сайтов, использующих CMS Bitrix.
Начиная с 2022 года злоумышленники массово взламывали сайты через известные уязвимости CMS Bitrix и устанавливали на сервер бэкдор, позволяющий создавать произвольные файлы и вызывать команды ОС. 26 мая с помощью установленного бэкдора был произведен массовый дефейс сайтов на Bitrix.
Если ваши сайты на CMS Bitrix, обязательно изучите техническое описание атаки и проведите профилактические мероприятия на сервере:
1. Проверьте по журналам доступа к WEB-серверу факт эксплуатации уязвимости CVE-2022-27228 (одна из самых часто используемых для взлома).
Пример команды поиска:
grep -E 'POST/bitrix/tools/(html_editor_action.php)|(vote/uf.php)' /var/log/www.access.log* | grep' 200 '2. Проверьте, что модуль CMS Bitrix «Опросы, Голоса» (vote) не ниже версии 21.0.100. При необходимости, обновите версию данного модуля.
3. Установите «1С-Битрикс: Поиск троянов», запустите сканирование. Панель управления сайтом → Настройки → bitrix.xscan → Поиск и Поиск (бета). Модуль отсканирует весь сайт и отобразит выявленные подозрительные файлы.
4. Проверьте наличие бэкапов и корректность их создания. Бэкапы могут помочь вам в восстановлении заражённых и удалённых файлов.
