Комментарии 17
… создал отдельную резервную копию таблицы b_user Битрикса боевого сайта…
… Далее администратор перенёс данные в тестовый контур ...
т.е. на тестовом контуре используются боевые данные?
Боевые данные были перенесены администратором ИнфоТеКС для финального тестирования новой версии сайта перед публикацией. До этого момента использовались исключительно тестовые данные.
а как надо?
использовать либо тестовые данные либо обезличенные
В период разработки нового сайта тестовые данные и использовались. Перед публикацией нового сайта решили провести дополнительное тестирование на боевых данных, но не ограничили доступ к инфраструктуре для подрядчика. Правильным было бы не допускать ситуации, когда в одной лодке волк с козой или коза с капустой подрядчик и боевые данные.
Для тех, кому в лом продираться через удушливый инфобез канцелярит:
Некий "подрядчик" передал заказчику новый код сайта, в котором была закладка, отправляющая введенные пользователем логин и пароль на сторонний сервер.
Что за подрядчик, и откуда в коде закладка, в статье не поясняется.
А почему этот masquerade код не удалили?
Что за подрядчик, и откуда в коде закладка, в статье не поясняется.
Ну как бы тут врядли кто-то даст точный ответ, по сути там любой контент менеджер через режим правки может занести произвольный php код. Когда с этим поделием работал мы максимально убирали возможномть правки для конетент менеджеров. Я даже не удивлен что атака прошла именно таким образом.
Если я правильно понял, это новый код, только что полученный от "подрядчика". То есть, из репозитория. Откуда там контент-менеджеры?
Там достаточно увести учетную запись с правами контент менеджера и иметь на странице то что можно редактировать, например включаемую область. При таком раскладе можно добавить свой код в php файл на странице.
У подрядчика это могло работать где-нибудь на тестовом сервере собственно там в процессе работы и мог появится этот файл и в момент релиза могло быть просто тупо все скопировано в прод, поскольку в битриксе все крутится вокруг файлов очень часто бывает что все грузится тупо по ftp, так что не факт что код из репозитория.
Просто тогда получается замкнутый круг. Чтобы увести учетную запись, нужно добавить код, а чтобы добавить код, нужно увести учетную запись :)
Не замкнутый круг, а чтобы выполнить любой произвольный php код и увести все данные достаточно иметь ОДНУ учетную запись с правами контент менеджера
Этот код был добавлен ещё в прошлом году, подрядчик использует его в своих проектах с Битриксом. Т.е. код был добавлен вместе со всей библиотекой из репозитория подрядчика в репозиторий сайта в самом начале работ. У подрядчика сразу была возможность создавать учётные записи с правами администратора Битрикса, но воспользовался он этой этой возможностью только после появления боевых данных. На текущий момент обнаруженные "особенности" кода были отключены, будет проведено полное исследование библиотеки. Может, там ещё что-то интересное есть.
Отдельно доставляет то, что ИнфоТеКС - это контора, специализирующаяся на разработке сертифицированных продуктов по информационной безопасности. Сапожники без сапог
Расследование инцидента по утечке данных сайта www.infotecs.ru