Дано: предположительная компрометация сервера на CMS 1C:Битрикс.

(На практике часто это предположение уже чем-то обоснованно, например, факт утечки данных, создание подозрительных/вредоносных файлов, нелегитимные входы пользователей и так далее. Постараемся рассмотреть ситуацию в целом, чтобы не уходить в детали)

В первую очередь, необходимо прояснить:

1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить

2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот

3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?

4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью

5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны

Дополнительно:

6️⃣ Доступна ли извне форма авторизации в административную панель — /bitrix/admin (при этом, учитываем, что может быть множество эндпоинтов для доступа)? В последующем, эта информация нам поможет при анализе журналов веб-сервера

7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это

8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?

Сбор данных
🔵 Вариант минимум: бодифайл с файловой системы (можно брать изменения файлов за определенный период, но я обычно пробегаюсь по всему) + журналы аудита битрикса + журналы доступы веб-сервера apache/nginx
🔵 Пожирнее: триаж
🔵 Самый жир: образ, но это прям зависит от

Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб? 😏 ),
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).

Лайфхак #1. Берите и изучайте методички пентестеров, собирайте (как минимум!) свои кейворды, чтобы потом упростить себе жизнь при поиске. Не мне вам рассказывать, что эти гайды используются далеко не только ими. При чем, я уж не говорю про всякие там точечные штуки типа SEF_APPLICATION_CUR_PAGE_URL: утрируя, но если в мануале было ололо, 98%, что где-то рядом это ололо тоже будет. В общем, почитайте, узнаете много чего интересного :)
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо

Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно

Привет, похекеры! 👋
Сегодня поговорим о неудобной стороне IoT.

Уязвимости в IoT: классика жанра
➡️Слабые пароли по умолчанию ⚡️
➡️Незашифрованная передача данных (привет, соседям-снифферам, на тему вчерашнего вопроса))
➡️Отсутствие обновлений прошивки (потому что кому нужны обновления безопасности? Явно не китайцам)

Методы атак: от классики до экзотики
➡️Man-in-the-Middle: классика, которая не стареет
➡️Эксплуатация уязвимостей в прошивке: найти и сломать
➡️AI-driven malware: когда SkyNet уже не кажется фантастикой

Инструменты для взлома
➡️Wireshark: даже не нужно объяснять.
➡️Shodan: Поисковик всего, что подключено к интернету. Найдет все "умные" штуки, которые светят в интернет.
➡️Binwalk: Инструмент для анализа и извлечения прошивок IoT-устройств
➡️firmadyne - платформа для эмуляции и динамического анализа прошивок на базе Linux

Громкие взломы через IoT
➡️Mirai DDoS: не найдется уже наверное того, кто не слышал об этом великом ботнете. Он был настолько хорош в свое время, что его кодовую базу до сих пор переиспользуют APT
➡️Взлом казино через аквариумный термометр: рыбки тоже любят азартные игры
➡️Massive IoT data breach 2025: 2.7 миллиарда записей, включая пароли от Wi-Fi. Упс!
➡️Если интересно почитать разбор какой-то истории взлома через IoT - пишите) Можем начать с тех, что написал выше.

Как защититься
#️⃣Для бизнеса:
➡️Сегментация сети: пусть умный холодильник не общается с базой данных клиентов
➡️Регулярные обновления: патчи - это новые черные
➡️Zero Trust: не доверяй даже своей кофеварке
#️⃣Для обычных пользователей:
➡️Уникальные сложные пароли для каждого устройства
➡️Отключение ненужных функций: ваша лампочка не должна иметь доступ в интернет
➡️Регулярные проверки и обновления: да, даже для утюга
➡️Не забывайте, что даже во всяких Алиса, Маруся есть уязвимости.

А теперь вопрос к вам, мои попищики: какое самое странное IoT устройство вы видели и как бы вы его взломали?🌚🌚

#IoTSecurity #IoT #HackingIoT #CyberSecurity #SmartDevices #ПентестИнтернетаВещей