В марте 2025 массово появились случаи заражения похожие на предыдущие от Аспро, но на самом деле это уязвимости модулей Esol
Официальная информация - https://esolutions.su/bezopastnost-saytov/
Признаки заражения:
- .htaccess почти во всех папках
- папка assets/images в корне сайтов
- siteheads.php внутри некоторых папок
- Множество левых папок в корне по типу "ad9fv"
Список модулей и версий подверженных взлому
- Импорт из Excel - версии от 2.4.7 до 2.8.9
- Экспорт в Excel - версии от 0.8.2 до 1.2.2
- Экспорт/Импорт товаров в Excel - версии от 2.4.7 до 2.8.9
- Импорт из XML и YML - версии от 0.6.8 до 1.1.6
- Массовая обработка элементов инфоблока - версии от 0.5.9 до 0.7.7
- Многофункциональный экспорт/импорт в Excel - версии от 0.2.2 до 0.4.8
Закрытие уязвимостей
<?if(isset($_REQUEST['path']) && strlen($_REQUEST['path']) > 0)
{
header((stristr(php_sapi_name(), 'cgi') !== false ? 'Status: ' : $_SERVER['SERVER_PROTOCOL'].' ').'403 Forbidden');
die();
}
?>
Этот код нужно разместить в начале файлов модулей
/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php/bitrix/modules/esol.massedit/admin/profile.php/bitrix/modules/esol.allimportexport/admin/cron_settings.php
