Дано: предположительная компрометация сервера на CMS 1C:Битрикс.

(На практике часто это предположение уже чем-то обоснованно, например, факт утечки данных, создание подозрительных/вредоносных файлов, нелегитимные входы пользователей и так далее. Постараемся рассмотреть ситуацию в целом, чтобы не уходить в детали)

В первую очередь, необходимо прояснить:

1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить

2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот

3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?

4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью

5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны

Дополнительно:

6️⃣ Доступна ли извне форма авторизации в административную панель — /bitrix/admin (при этом, учитываем, что может быть множество эндпоинтов для доступа)? В последующем, эта информация нам поможет при анализе журналов веб-сервера

7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это

8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?

Сбор данных
🔵 Вариант минимум: бодифайл с файловой системы (можно брать изменения файлов за определенный период, но я обычно пробегаюсь по всему) + журналы аудита битрикса + журналы доступы веб-сервера apache/nginx
🔵 Пожирнее: триаж
🔵 Самый жир: образ, но это прям зависит от

Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб? 😏 ),
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).

Лайфхак #1. Берите и изучайте методички пентестеров, собирайте (как минимум!) свои кейворды, чтобы потом упростить себе жизнь при поиске. Не мне вам рассказывать, что эти гайды используются далеко не только ими. При чем, я уж не говорю про всякие там точечные штуки типа SEF_APPLICATION_CUR_PAGE_URL: утрируя, но если в мануале было ололо, 98%, что где-то рядом это ололо тоже будет. В общем, почитайте, узнаете много чего интересного :)
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо

Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно