Автологин Битрикса и другие "пасхальные яйца" от фрилансеров
Автологин Битрикса и другие "пасхальные яйца" от фрилансеров
Разработчики сайтов и веб-мастера часто размещают инструменты для работы с БД и проверочные файлы прямо в корневом каталоге. Например, оставляют phpMyAdmin, mysqladminer.php, dumper.php, файловые менеджеры без аутентификации, скрипты с phpinfo(), не задумываясь, что все эти инструменты угрожают безопасности сайтов и упрощают жизнь хакерам. А в последнее время на сайтах клиентов нам особенно часто попадаются "закладки" в Битриксе, которые позволяют без ввода логина и пароля сразу заходить в админку с полными правами.
Это, конечно, удобно, но является серьезной проблемой для безопасности сайта. Такие файлы называются x.php, xxx.php, a.php... Естественно, хакеры догадаются проверить наличие файлов с типичными именами (в том числе и перечисленными выше) и без труда попадут в админку без знания логина и пароля (а там полная свобода, и даже можно выполнять произвольный PHP код). Для разработчика оставлять "черный ход" также не очень разумно, среди них иногда попадаются непорядочные. Поэтому такие файлы или вставки в файлах нужно удалять.
Сами файлы "закладок" выглядят примерно так как на скриншоте (достаточно одной строки, чтобы реализовать Битриксный автологин).
Проверьте свои сайты, нет ли подобных файлов с "->Authorize(1)" и удалите их с сайта. Последняя версия в "параноидальном" режиме детектирует такие строки как опасный код.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
