Всем привет, только для ответа в этой ветки и зарегался.
И так. Шелл лежит у Вас на одном из сайтов на CMS Bitrix в каталоге ../site/bitrix/admin/template_import.php
Шелл WSO.
Как попал?
Скомпроментирована учетная запись администратора на том же сайте где и шел.
Шелл заливается через Админку битрикса - Командная PHP строка.
Что сделать?
Сменить пассы на все учетки, которые имеют доступ в админ панель, на всех сайтах!
Далее:
Для групп администраторов и всех кто имеет доступ в административную панель сайта выставить политики безопасности:
Время жизни сессии (минут): 60
Максимальное количество компьютеров на которых может быть одновременно быть запомнена авторизация: 1
Срок хранения авторизации, запомненной на компьютере пользователя (минут): 120
Минимальная длина пароля: 12
Пароль должен содержать латинские символы верхнего регистра (A-Z): да
Пароль должен содержать латинские символы нижнего регистра (a-z): да
Пароль должен содержать цифры (0-9): да
Пароль должен содержать знаки пунктуации (,.<>/?;:'"[]{}\|`~!@#$%^&*()-_+=): да
Количество попыток ввода пароля до показа CAPTCHA: 3
Проактивный фильтр:
-Активная реакция на вторжение: Очистить опасные данные
-Занести попытку вторжения в журнал: да
-Добавить IP-адрес атакующего в стоп-лист2: на ваше усмотрение
Включить веб-антивирус:
Действия при обнаружении вируса: Вырезать из кода сайта
Интервал оповещения (минуты): 10
На всех сайтах включить контроль целостности:
-Установить пароли.
Хранение сессий в базе данных - Включить
Время жизни идентификатора, в секундах: 15
Зищата редиректов от фишенга - включить
Журналирование событий главного модуля - Включить все
Смена идентификатора сессий - включить
Контроль активности - включить:
-Блокировать на время: 600 сек
-если в течение: 10 сек
-сделано более: 30 хитов
-Сделать запись в журнале событий: да
Удачи, делайте это быстро так как злоумышленники могут изменить шелл, место расположение, использовать обфускацию.
Так же советую переехать на чистую ОС, контейнер, чрут среду, т.к. доверять этой уже нельзя.
Еще полезно в данном случае утилита ai-bolit.php (лучше запускать из командной строки).
IP и hostname редиректов можете оставлять тут, буду наказывать их) 🍿
