Жуырда үшінші тарап модульдерінің бірқатарында 1С-Битрикс платформасына орнатылатын Excel және XML арқылы деректерді импорттау, экспорттау және жаппай өңдеу функцияларына қатысты маңызды осалдықтар анықталды. Бұл модульдер 1С-Битрикс жүйесінің өзегіне кірмейді және жиі уақытылы жаңартылмайды, сондықтан олар хакерлер үшін тартымды нысана болып саналады.
Не қауіп төндіреді?
Осалдықтар келесі екі әзірлеушінің модульдеріне әсер етті:
| Модуль |
Мақсаты |
Әзірлеуші |
kda.importexcel |
Excel файлдарынан деректерді импорттау |
ЖШҚ «КДА Битрикс» (kdasoft.ru) |
kda.exportexcel |
Деректерді Excel форматына экспорттау |
ЖШҚ «КДА Битрикс» (kdasoft.ru) |
esol.massedite |
Элементтерді жаппай өңдеу |
Esol – Easy Solutions (esolutions.su) |
esol.importxml |
XML файлдарын импорттау |
Esol – Easy Solutions (esolutions.su) |
esol.importexportexcel |
Excel файлдарын импорттау/экспорттау |
Esol – Easy Solutions (esolutions.su) |
esol.allimportexport |
Импорт пен экспорттың барлық түрлері |
Esol – Easy Solutions (esolutions.su) |
Хакерлік шабуыл қалай жүзеге асады
Зиянкестер осы модульдердің әкімшілік скрипттеріндегі осалдықтарды пайдаланып, әлсіз қорғалған cron-сценарийлер арқылы серверге қол жеткізеді. Бұл оларға зиянды файлдарды жүктеуге және еркін PHP-кодты орындауға мүмкіндік береді.
Іс жүзінде — бір рет орнатылған, бірақ жаңартылмайтын және бақыланбайтын модуль ашық рұқсаттары бар болса, шабуыл үшін оңай кіру нүктесіне айналады.
Қалай қорғануға болады
1. Қол жеткізу құқықтарын қалпына келтіріңіз
Файлдар мен иелеріне қауіпсіз құқықтар орнату үшін келесі скриптті орындаңыз:
bash
#!/bin/bash
# root атынан іске қосыңыз!
DOCROOT="/home/bitrix/www"
FILES=(
"/bitrix/modules/esol.allimportexport/admin/cron_settings.php"
"/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php"
"/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php"
"/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php"
"/bitrix/modules/esol.massedit/admin/profile.php"
"/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php"
"/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php"
)
for file in "${FILES[@]}"
do
FULLPATH="$DOCROOT$file"
echo "Өңделуде: $FULLPATH"
if [ ! -f "$FULLPATH" ]; then
echo "Файл табылмады: $FULLPATH"
continue
fi
chattr -i "$FULLPATH" 2>/dev/null
chmod 644 "$FULLPATH"
chown bitrix:bitrix "$FULLPATH"
echo "Қорғалды: $FULLPATH"
done
echo "Өңдеу аяқталды."
Қолдану тәсілі:
bash
wget -O fix_permissions.sh https://onehost.kz/fix_permissions
chmod +x fix_permissions.sh
./fix_permissions.sh
2. Қорғаныс патчын орнатыңыз
Қосымша түрде келесі патчты орнату ұсынылады:
bash
wget -O patch.php https://onehost.kz/patch
patch.php файлын сайттың түпкі қалтасына көшіріп, браузер арқылы ашыңыз:
arduino
https://сіздің_сайтыңыз/patch.php
⚠ Назар аударыңыз: патчтың орындалуы үшін PHP-де phar кеңейтуі қосулы болуы қажет.
Қорытынды
Осалдықтар 1С-Битриксте емес, үшінші тарап әзірлеушілердің қосымша модульдерінде анықталған.
ЖШҚ «КДА Битрикс» және Esol – Easy Solutions модульдері егер ұзақ уақыт бойы жаңартылмаған болса, шабуыл көзіне айналуы мүмкін.
Сайтыңыздағы орнатылған модульдерді тексеріңіз, қажетсіздерін жойыңыз, скрипттерге қолжетімділікті шектеңіз және қорғаныс орнатыңыз.
Үшінші тарап шешімдерін жүйелі түрде жаңартып отырыңыз — олар “жақсы жұмыс істеп тұр” деп ойлап, назарсыз қалдырмаңыз. Қауіпсіздік үнемі бақылауды қажет етеді.