В центре кибербезопасности hoster.by сообщили об обнаружении в нашей стране цепочки взломов сайтов – главным образом торговых интернет-платформ.
Как рассказали в hoster.by, уязвимыми для киберпреступников оказались скрипты продуктов «Аспро», которые созданы для сайтов на CMS 1С-Битрикс.
В связи с этим на серверы десятков клиентов центра было установлено вредоносное программное обеспечение для скрытого майнинга – взломы и попытки получения доступов к сайтам начались в конце августа.
При этом отмечается, что компания «Аспро» никак не отреагировала на обращения.
«Чаще всего использовался IPv4-адрес 185.125.219.93. Точкой входа были уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Файлы находятся в директории /ajax/ в корне сайта, например /var/www/www-root/data/www/test.by/ajax/», – сообщили в hoster.by.
В центре кибербезопасности hoster.by составили алгоритм действий для тех, кто нашел указанный софт на своем ресурсе:
- остановить все вредоносные процессы;
- сменить пароли всех используемых учетных записей 1C-Битрикс;
- обновить CMS и все ее модули до последних версий;
- внести дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, заменив $arParams = unserialize (urldecode ($_REQUEST["PARAMS"])) на $arParams = json_decode($_REQUEST["PARAMS"]).
В случае, если самостоятельно проблему устранить не получилось, нужно прибегнуть к помощи специалистов.