По проблеме внедрения суперадминов в Битрикс, часть 2
Эта статья по сути является дополнением к той проблеме, которую я рассматривал ранее. В процессе своей профессиональной деятельности очень часто приходиться брать на обслуживание сайты разработанные другими разработчиками. Так вот и выяснилось, что помимо внедрения вредоносных скриптов, которые дают возможность несанкционированного доступа на сайт, также можно внедрить так называемые почтовые события, когда при изменении административного пароля или паролей в файле dbconn.php, злоумышленнику высылаются измененные данные на его почту. Обычно все привязывается к пользователю админу с ID=1, так как по факту в Битрикс это и есть супер пользователь, которого нельзя удалить.
Для борьбы с такими явлениями нам нужно настроить логирование всех отправляемых писем и посмотреть, отправляются ли письма по данной проблеме, чтобы увидеть несанкционированную отправку данных. Это обеспечивается следующим образом:
В файле /bitrix/php_interface/init.php (если нет — создайте) определяем функцию:
function custom_mail($to,$subject,$body,$headers) {
$f=fopen($_SERVER[«DOCUMENT_ROOT»].»/maillog.txt», «a+»);
fwrite($f, print_r(array(‘TO’ => $to, ‘SUBJECT’ => $subject, ‘BODY’ => $body, ‘HEADERS’ => $headers),1).»n========n»);
fclose($f);
return mail($to,$subject,$body,$headers);
}
Затем инициируем отправку почты и смотрим результат в логе maillog.txt в корне сайта.Для этого достаточно отправить сообщение с помощью формы обратной связи. Далее тестируем смену паролей у админа. смотрим логи если есть. Если у вас кроме тестового лога ничего нет, значит несанкционированная отправка паролей не осуществляется.
Результат лога выглядит так:
Array
(
[TO] => кому@mail.ru
[SUBJECT] => =?UTF-8?B?Q9Cw0LnRgiBXZWIt0L/QtdC60LDRgNC90Y86INCh0L7QvtCx0YnQtdC90LjQtSDQuNC3INGE0L7RgNC80Ysg0L7QsdGA0LDRgtC90L7QuSDRgdCy0Y/Qt9C4?=
[BODY] => Информационное сообщение сайта _______
——————————————
Вам было отправлено сообщение через форму обратной связи
Автор: Вася
E-mail автора: автор@mail.ru
Текст сообщения:
Проверка почтовых событий
Сообщение сгенерировано автоматически.
[HEADERS] => From: автор@mail.ru
Reply-To: кому@mail.ru
X-EVENT_NAME: FEEDBACK_FORM
X-MID: 1461.7 (13.11.2015 10:10:03)
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
)
Ещё статьи:
15.02.2024
История о жадности или как клиент свободное место искал на сервере
Случилась у меня одна история с клиентом, который свободное место искал на сервере, но на самом деле это больше о жадности, но в итоге всё равно пришл...
ID: 466
08.11.2023
Хроники БУС упадка
На днях произошли очередные изменения в БУС битрикс. Полезный модуль bitrix.xscan включили в состав проактивной защиты и убрали из бесплатного сегмента...
ID: 465
26.07.2023
Kwork.com закрыл доступ для резидентов РФ
Доступ к выставлению услуг теперь ограничен "К сожалению, вынуждены сообщить, что резиденты РФ в настоящее время не могут использовать сайт Kwork...
ID: 463
Новые статьи в блоге:
31.07.2024
Нюансы продления лицензии на 3 и 6 месяцев от 12 месяцев
На маркетплейсе есть такая кнопка "купить продление", при нажатии на неё есть выпадающий список продолжительность (3 мес. самый дешовый ...
ID: 494
31.07.2024
Ошибка в блоке "Вы смотрели" на базе catalog.section
При создании блока "Вы смотрели" на базе catalog.section на детальной странице товара столкнулся с ошибкой, когда блок работал не корректно,...
ID: 493
26.06.2024
Мой отзыв о Seo-специалисте Александр Сергиенко
Делюсь моим опытом о Seo-специалисте Александр Сергиенко https://kwork.ru/user/21alex
Я думаю потенциальным клиентам этого мудака будет полезно узнать...
ID: 471