-
DONATE to NULLED!
Форуму и его команде можно помочь, мотивировать модераторов разделов. Помогите модератору этого раздела wpt лично.
Помощь Битрикс, защита от вирусов/взлома
- Автор темы kuzmit42
- Дата начала
snikerspro
Создатель
- Регистрация
- 15 Июл 2014
- Сообщения
- 21
- Реакции
- 17
Проблема именно в коде, или в защите среды где обитает сам сайт? Если в коде то думаю самое актуальное это юзать проверенную версию нуля, а не ставить самые последние релизы где кроме багов самого движка, еще есть и шеллы, которые пихают добрые дяди, либо использовать лицензию, хотя и в лицензии своей головной боли хватает. По защите среды это отдельный вопрос.
nononameman
Мой дом здесь!
- Регистрация
- 3 Мар 2014
- Сообщения
- 340
- Реакции
- 245
Конкретизируйте проблему, выставьте уровень защиты на максимум на на странице настроек в админ панели, ну и хостинг проверяйте.
kuzmit42
Мастер
- Регистрация
- 9 Янв 2013
- Сообщения
- 132
- Реакции
- 31
- Автор темы
- #4
Проблема в том что была куплена лицензия, но она истекла. движок не обновляется.
Я так подозреваю что вирусы заливаются через какие-то дыры в самом движке.
Есть ли какие-то расширения для защиты самой CMS. Приведу пример - на других CMS типа Joomla есть RSfirewall, на вордпресс есть bulletproof-security, и прочие.
Есть ли какие-то решения для защиты от битрикса ?
Может через .htaccess, или другими способами как-то.
П.С. Можно ли админку сайта защищать дополнительным паролем - через .htpasswd, косяки не вылезут ?
Я так подозреваю что вирусы заливаются через какие-то дыры в самом движке.
Есть ли какие-то расширения для защиты самой CMS. Приведу пример - на других CMS типа Joomla есть RSfirewall, на вордпресс есть bulletproof-security, и прочие.
Есть ли какие-то решения для защиты от битрикса ?
Может через .htaccess, или другими способами как-то.
П.С. Можно ли админку сайта защищать дополнительным паролем - через .htpasswd, косяки не вылезут ?
Последнее редактирование:
kuzmit42
Мастер
- Регистрация
- 9 Янв 2013
- Сообщения
- 132
- Реакции
- 31
- Автор темы
- #5
Я бы особо не смеялся.
Для просмотра ссылки Войди
Запрос в гугле, и видим кучу статей с уязвимостями данной CMS, и если лицензия закончилась и движок давно не обновлялся - то вопрос о защите актуален )
t0wer
BlackHerald
- Регистрация
- 24 Июн 2008
- Сообщения
- 743
- Реакции
- 440
Все практически или устарело, или имеет проблемы со стороны элементов подгруженных в Битрикс. А это означает, что нужно смотреть что качаешь и тем более что ставишь... особенно с Макетплейс. Так что все основные моменты защиты указаны на офф. сайте и тут постами выше.
Rocknrollby
Создатель
- Регистрация
- 10 Янв 2015
- Сообщения
- 31
- Реакции
- 17
Взломать можно всё что угодно, в том числе и Битрикс лучше использовать последние обновления, и перейти на версию выше 12 ))) ядро же новое. Для защиты достаточно использовать то что говорит сам битрикс запустить сканер безопасности покажет уязвимости которые есть, если лень или не понятно вот ещё одно решения Для просмотра ссылки Войди или Зарегистрируйся + его в том что он на примере с пояснениями покажет где что нужно изменить для чего это нужно, и стоит ли вообще это трогать 
nononameman
Мой дом здесь!
- Регистрация
- 3 Мар 2014
- Сообщения
- 340
- Реакции
- 245
ЗА все время работы с битрикс, ни разу не поймал ни шелл , ни вирус, ничего, система не идеальна, но если гугл показывает статьи 3 летней давности, это еще ничего не значит, по сравнению с битркис та же Joomla! просто решето.
kuzmit42
Мастер
- Регистрация
- 9 Янв 2013
- Сообщения
- 132
- Реакции
- 31
- Автор темы
- #9
Ок, всем огромное спасибо за то что отписались.
И хотел бы еще раз уточнить:
1. Вверху спрашивал уже - но никто так и не ответил.
Если папку site.ru/bitrix/admin/ Закрыть паролем через .htpasswd - глюков не вылезет ?
2. Взял просканировал сайт на вирусы айболитом, понаходил он около 10 файлов.
Изначально подумал что заражение. но потом решил скачать тут битрикс в исходниках, и проверить его. -нашел все те же файлы.
В общем я понял что это не вирусы. Теперь просто интересно что за файлы и зачем они нужны.
Если кто знает отпишитесь.
И хотел бы еще раз уточнить:
1. Вверху спрашивал уже - но никто так и не ответил.
Если папку site.ru/bitrix/admin/ Закрыть паролем через .htpasswd - глюков не вылезет ?
2. Взял просканировал сайт на вирусы айболитом, понаходил он около 10 файлов.
Изначально подумал что заражение. но потом решил скачать тут битрикс в исходниках, и проверить его. -нашел все те же файлы.
В общем я понял что это не вирусы. Теперь просто интересно что за файлы и зачем они нужны.
Если кто знает отпишитесь.
BaBL
Постоялец
- Регистрация
- 13 Ноя 2012
- Сообщения
- 167
- Реакции
- 109
Это не вирусы и эти папки у тебя должны быть закрыты стандартным битриксовым .access.php файлом (он закрывает всю директорию /bitrix/ и требует авторизации.
Первый файл - это: Настройки > Инструменты > Командная PHP-строка, по факту это и есть shell скрипт, но он закрыт извне паролем.
Вторая - это проверялка целостности сайта (есть в разделе контроля и бекапа) - по факту тоже шелл скрипт, так как ему надо считать чексуммы файлов битрикса и сравнивать с оригиналом.
Те что include и start - просто обфусцированы, там кроется механизм лицензии битрикса и ее истечения.
То что в wizard - почти всегда относится к этапу установки и вряд ли ты будешь ими пользоваться позже, само собой там так же нужны операции во всех направлениях.
Про яваскрипт - первый скрипт просто немного коряво написан, этот pullParams надо было до </body> объявлять. Скрипт относится к мобильному приложению и отвечает за автозапрос изменений с сайта.
Первый файл - это: Настройки > Инструменты > Командная PHP-строка, по факту это и есть shell скрипт, но он закрыт извне паролем.
Вторая - это проверялка целостности сайта (есть в разделе контроля и бекапа) - по факту тоже шелл скрипт, так как ему надо считать чексуммы файлов битрикса и сравнивать с оригиналом.
Те что include и start - просто обфусцированы, там кроется механизм лицензии битрикса и ее истечения.
То что в wizard - почти всегда относится к этапу установки и вряд ли ты будешь ими пользоваться позже, само собой там так же нужны операции во всех направлениях.
Про яваскрипт - первый скрипт просто немного коряво написан, этот pullParams надо было до </body> объявлять. Скрипт относится к мобильному приложению и отвечает за автозапрос изменений с сайта.