CyberOK выпустила рекомендации по предотвращению инцидентов на CMS Bitrix

Итогом произошедшего в конце мая массового дефейса российских  веб-серверов с целью атаки на CMS Bitrix, стала насущная необходимость не только расследовать произошедшие инциденты, но и избежать их повторения в будущем. Рекомендации для желающих обезопасить сайты на данной CMS опубликовала компания CyberOK.

Десятистраничный  файл содержит исчерпывающую информацию по реагированию на успешную атаку. Владельцам рекомендуется начать с проверки посредством «1С-Битрикс:Поиск троянов». Следы возможной успешной эксплуатации уязвимости CVE-2022-27228 также можно найти в журналах доступа к WEB-серверу, где следует проверить запросы к файлам с кодом ответа 200 и POST-запросы, которые содержат несколько конкретных строк. Компания также определила ряд индикаторов компрометации, которые могут указывать на нетипичные файлы. Затем в планировщике задач (cron) следует проверить наличие нелегитимных задач, после чего удостовериться в отсутствии иных способов закрепления доступа на узле.

Вторая часть документа посвящена сдерживанию. Эффективным методом в CyberOK видят блокировку POST-запросов к уязвимым файлам. Потребуется модификация файлов WEB-приложения, а также ограничение доступа к уязвимым файлам средствами веб-сервера и WAF/NGFW.

Чтобы очистить зараженный узел, следует остановить службу веб-сервера и очистить cache WEB-приложения. Все аналогичные проверки важно провести и для резервной копии сайта.

Для обеспечения максимальной  защиты веб-приложения CyberOK рекомендует установить на сайт актуальную версию PHP 8 и обновить до последней версии «1С-Битрикс: Управление сайтом, активировать модули «Проактивный фильтр (Web Application Firewall)» и «Контроль активности», а также закрыть доступ к определенным файлам на уровне сервера и проверить  логирование событий доступа к WEB-приложению и ошибок.

Дополнительно документ содержит рекомендации на случай, если взлом сайта приведет к блокировке со стороны НКЦКИ. В этом случае после устранения всех последствий инцидента следует связаться с сотрудниками  Национального координационного центра по компьютерным инцидентам.