Уязвимость CMS Sitebill

[Opossum_Shultz 9]

Сайт не скажу какой был заражен ботнетом, заключение хостера (проведены работы ):

Судя по логам на сервере, злоумышленники воспользовались уязвимостью в модуле PHPExcel, который используется у вас на сайтах, через уязвимость в его коде и загрузили вредоносный код на ваши сайты. 
/apps/third/phpexcel/PHPExcel/Calculation/Functions.php
Что же касается списка взломавших, он довольно длинный. Если посмотреть уникальное сочетание IP+URL атаки, можно увидеть, что к вам приходило больше полутора тысяч уникальных комбинаций:
zgrep POST /var/www/www-root/data/logs/*.access.log* | grep -vE "((contactus|ajax|admin|realty.*)\.?(php|html)?|review/)" | awk -F':| ' '{print $2" "$11}'| sort| uniq -c | sort -n

И порядка 1800 уникальных IP пришло ко взломанным файлам:
[root@gm36 ~]# zgrep POST /var/www/www-root/data/logs/*.access.log* | grep -vE "((contactus|ajax|admin|realty.*)\.?(php|html)?|review/)" | awk -F':| ' '{print $2}'| sort| uniq | wc -l
1810
IP-адреса принадлежат самым разным странам - Китай, Америка, Россия, Польша и так далее. Судя по всему, ваш сайт был заражен ботнетом, сканирующим интернет на предмет известных уязвимостей.
 

Как обезопаситься:

Обновить всё программное обеспечение до последних актуальных релизов в репозиториях.

Доступ по SSH к серверу ограничить, порт SSH сменить по вкусу.

В PHP отключить функции exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source, create_function. Отключить отображение служебных PHP-заголовков. 

 

[Дмитрий Кондин 690]

Понятно.

Будем менять на новую библиотеку работы с Excel.

[Opossum_Shultz 9]

спасибо за оперативное исправление!

[metrpro 42]

В 29.12.2017 в 07:14, rumantic сказал:

Понятно.

Будем менять на новую библиотеку работы с Excel.

Дайте знать, когда выйдет патч

[Chernetskiy 469]

Так вроде уже вышел... Обновление модуля Эксель было.

[Дмитрий Кондин 690]

11 час назад, metrpro сказал:

Дайте знать, когда выйдет патч

Уже есть