Критическая уязвимость в CMS Bitrix. Как не стать жертвой кибератак?
В конце мая текущего года в национальном сегменте Интернета ряда стран СНГ наблюдались массовые атаки и дефейс сайтов, которые используют CMS Bitrix.
Массовые взломы наблюдаются с начала 2022 года. Злоумышленники использовали популярные уязвимости в CMS Bitrix и устанавливали бэкдор, с помощью которого можно создать произвольные файлы и вызывать команды ОС. С помощью установленного бэкдора производился массовый дефейс сайтов.
Если ваши веб-сайты используют CMS Bitrix, рекомендуется принять следующие предупредительные меры на сервере:
- Проверьте журналы доступа к веб-серверу, чтобы найти вероятное использование уязвимости CVE-2022-27228, которая является одной
из наиболее распространенных при взломах.
Пример команды поиска:
grep -E 'POST/bitrix/tools/(html_editor_action.php)|(vote/uf.php)' /var/log/www.access.log* | grep' 200 '
- Убедитесь, что модуль "Опросы, Голоса" (vote) в CMS Bitrix имеет версию, не ниже 21.0.100. При необходимости обновите данный модуль.
- Установите модуль "1С-Битрикс: Поиск троянов" и выполните сканирование. Чтобы сделать это, зайдите в панель управления сайтом → Настройки → bitrix.xscan → Поиск и Поиск (бета-версия). Данный модуль просканирует все файлы на вашем сайте и выявит подозрительные.
- Проверьте наличие резервных копий и убедитесь в их корректности создания. Резервные копии могут помочь восстановить зараженные или удаленные файлы.