По проблеме внедрения суперадминов в Битрикс, часть 2

По проблеме внедрения суперадминов в Битрикс, часть 2

14.11.2015

Эта статья по сути является дополнением к той проблеме, которую я рассматривал ранее. В процессе своей профессиональной деятельности очень часто приходиться брать на обслуживание сайты разработанные другими разработчиками. Так вот и выяснилось, что помимо внедрения вредоносных скриптов, которые дают возможность несанкционированного доступа на сайт, также можно внедрить так называемые почтовые события, когда при изменении административного пароля или паролей в файле dbconn.php, злоумышленнику высылаются измененные данные на его почту. Обычно все привязывается к пользователю админу с ID=1, так как по факту в Битрикс это и есть супер пользователь, которого нельзя удалить.

Для борьбы с такими явлениями нам нужно настроить логирование всех отправляемых писем и посмотреть, отправляются ли письма по данной проблеме, чтобы увидеть несанкционированную отправку данных. Это обеспечивается следующим образом:

В файле /bitrix/php_interface/init.php (если нет — создайте) определяем функцию:

function custom_mail($to,$subject,$body,$headers) {
$f=fopen($_SERVER[«DOCUMENT_ROOT»].»/maillog.txt», «a+»);
fwrite($f, print_r(array(‘TO’ => $to, ‘SUBJECT’ => $subject, ‘BODY’ => $body, ‘HEADERS’ => $headers),1).»n========n»);
fclose($f);
return mail($to,$subject,$body,$headers);
}

Затем инициируем отправку почты и смотрим результат в логе maillog.txt в корне сайта.Для этого достаточно отправить сообщение с помощью формы обратной связи. Далее тестируем смену паролей у админа. смотрим логи если есть. Если у вас кроме тестового лога ничего нет, значит несанкционированная отправка паролей не осуществляется.

Результат лога выглядит так:

Array
(
[TO] => кому@mail.ru
[SUBJECT] => =?UTF-8?B?Q9Cw0LnRgiBXZWIt0L/QtdC60LDRgNC90Y86INCh0L7QvtCx0YnQtdC90LjQtSDQuNC3INGE0L7RgNC80Ysg0L7QsdGA0LDRgtC90L7QuSDRgdCy0Y/Qt9C4?=
[BODY] => Информационное сообщение сайта _______
——————————————

Вам было отправлено сообщение через форму обратной связи

Автор: Вася
E-mail автора: автор@mail.ru

Текст сообщения:
Проверка почтовых событий

Сообщение сгенерировано автоматически.

[HEADERS] => From: автор@mail.ru
Reply-To: кому@mail.ru
X-EVENT_NAME: FEEDBACK_FORM
X-MID: 1461.7 (13.11.2015 10:10:03)
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
)


Ещё статьи:

30.08.2022 Типовые претензии к подрядчику и к битрикс
По свежим следам я собрал типовые претензии к подрядчику и к битрикс. Мной был проведён аудит и я увидел, что техническое состояние сайта хорошее, нареканий... ID: 338

14.06.2022 Z-Донбасс и мой скромный волонтёрский вклад
Z-Донбасс и мой скромный волонтёрский вклад. Народ не забываем помогать людям Донбасса, которые оказались в сложной ситуации, без денег, еды.
В моём случае... ID: 334

20.09.2021 Разговор с рекрутером в 2021. Мидл это младший специалист и на удалёнку не ниже сеньёра
Рекрутер: В принципе ок, но обычно младших специалистов мы в офис берем). Что скажете?
П.С. Мда, интересно оказывается, что мидл это младший специалист,... ID: 320

Новые статьи в блоге:

08.09.2022 Расход оперативной памяти у интернет-магазина битрикс с 60 000 товаров
После выполнения мной доработки не связанной с обменом, у заказчика появилась проблема с обновлением товаров из раздела КПБ после обмена с 1С.

Перестали... ID: 341

31.08.2022 Тест VPS тарифа RED.Site-2 reddock.ru для битрикс Аспро
Параметры хостинга:
Виртуальный сервер RED.Site-2, Дисковое пространство -40Гб, Оперативная память - 2Гб ID: 340

31.08.2022 Тест тарифа reg.ru SSD-VPS-3 битрикс Аспро
Параметры хостинга SSD-VPS-3 сайта битрикс с Аспро в ходе тестов:
10 гб к серверу "Cyan Terbium", Премиум DNS, ISPmanager 6 Lite 8 для сервера... ID: 339

Возврат к списку

© 2015-2022 Web админ
Связаться по WhatsApp