208 похожих чатов

Народ привет. Надеюсь многие встредались с дырой в Битриксе, когда создается

процесс с названием k и отжирает 300-400% проца и открывает соединение с amazonws.com ???

11 ответов

18 просмотров

Проверяйте сервак на вирусы

Сергей-Шадрин Автор вопроса
Anton Eskov
Проверяйте сервак на вирусы

с серваком - все о.к. :). Именно через Битрикс ломают. В начале просек через html_editor_action, там закрыл, но все равно возникает.

Сергей Шадрин
с серваком - все о.к. :). Именно через Битрикс лом...

Просто было не раз что на серваках ловил вирус который забивает все процессорное время на серваке (майнеры), то что вы описали на них похоже :)

Сергей-Шадрин Автор вопроса
Anton Eskov
Просто было не раз что на серваках ловил вирус кот...

странно что в интернете ничего по этому нету.

Сергей Шадрин
странно что в интернете ничего по этому нету.

Пару лет назад это была прямо проблема с майнерами, полазийте по форуму битрикса, там есть про это ветки :)

Сергей-Шадрин Автор вопроса
Anton Eskov
Пару лет назад это была прямо проблема с майнерами...

ну тут если посмотреть инфу по процессу, то видно что открыто соединение с одним из серверов amazonaws.com

Сергей Шадрин
ну тут если посмотреть инфу по процессу, то видно ...

Я честно фиг его знает как работает внутри, не сильно в этом разбираюсь, просто говорю что есть такая проблема как вирусы-майнеры, если они заражают сервак, то загрузка процессора в 100% и сайт по сути падает. Работал в веб-студии и такая проблема была на многих проектах, приходилось чистить и лечить. Я вам просто говорю что такое бывает и то что вы описываете очень похоже на вирус, поэтому советую проверить эту версию :)))

Сергей-Шадрин Автор вопроса
Anton Eskov
Я честно фиг его знает как работает внутри, не сил...

я понял, спасибо :). НО тут вот загрузка была 300-400%, но сайты работали. Я так понимаю загружается скрипт, запускается, потом удаляется и сидит в памяти, работает. Ладно, будем искать.

Сергей Шадрин
с серваком - все о.к. :). Именно через Битрикс лом...

Крон проверяли? Сканировали весь сервер на подозрительные файлы? Обновляли битрикс до последней версии? Все дыра закрыли? html_editor_action не единственная дыра.

Сергей-Шадрин Автор вопроса

крон - да. Весь сервер - не сканировал, вроде нет такого ПО, только если искать по названию файлы. Битрикс 17-й и не обновляется :).

Сергей Шадрин
крон - да. Весь сервер - не сканировал, вроде нет ...

Как минимум применить все рекомендации https://www.cyberok.ru/docs/CyberOK-bitrix_web_1.pdf Таи же в файое есть команда для поиска уязвимостей grep -Er 'str_rot13|md5\(\$_COOKIE|bitrixxx|eval\(base64_decode|BX_STAT[^E]|BX_TOKEN|parse_str\(hex2bin|iasfgjlzcb|QlhfVE9LRU4=|gzinflate\(base64_decode|C\.A\.S|urldecode\(base64_decode\(hex2bin' /* Ну и установить антивирус на сервере и прогнать его, clamAV например или сканер maldetect Если есть ТП хостинга, то попросить их провести сканирование

Похожие вопросы

Обсуждают сегодня

а через ESC-код ?
Alexey Kulakov
29
30500 за редактор? )
Владимир
47
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
13
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Как передать управляющий символ в открытую через CreateProcess консоль? Собсна, есть процедура: procedure TRedirectThread.WriteData(Data: OEMString); var Written: Cardinal;...
Serjone
6
в JclConsole объявлено так: function CtrlHandler(CtrlType: DWORD): BOOL; stdcall; - где ваше объявление с stdcall? у вас на картинке нет stdcall
Karagy
8
Ребят в СИ можно реализовать ООП?
Николай
33
program test; {$mode delphi} procedure proc(v: int32); overload; begin end; procedure proc(v: int64); overload; begin end; var x: uint64; begin proc(x); end. Уж не знаю...
notme
6
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта