+7 (950) 836-54-64
Начиная с конца 2022 года, сайты на платформе Битрикс подвергаются массовому заражению. Вирусы Битрикс встречаются в виде шеллов, бэкдоров и замаскированных скриптов — ниже мы с руководителем отдела разработки, Сергеем Романовым, написали подробную статью о том, откуда берутся вирусы, кому это надо и как с этим бороться собственными силами, а если нет таких возможностей к кому обратиться.
Денис Ковальчук, руководитель Kovalchukk.ru / lidzavod.ru. Мы находимся в Ижевске, работает с клиентами по России. Подписывайтесь на мой канал в телеграме https://t.me/lid_zavod
Заражение сайтов на CMS 1С-Битрикс чаще всего происходит не из-за уязвимости самой платформы, а из-за ошибок в эксплуатации и недостаточного внимания к вопросам безопасности. Ниже перечислены самые распространённые причины, по которым сайты на Битрикс подвергаются взлому:
Многие владельцы сайтов игнорируют обновления, опасаясь, что они "сломают" текущий функционал. Однако именно старые версии модулей и самого ядра Битрикс содержат известные уязвимости, которые активно сканируются и эксплуатируются ботнетами и скрипт-киддисами. Регулярные обновления — это критически важная мера защиты.
Файлы и каталоги сайта нередко имеют слишком широкие права (например, 777 на папки), что позволяет злоумышленнику не только читать, но и модифицировать файлы. Такие настройки создают идеальные условия для загрузки и исполнения вредоносного кода. Оптимальные права: 644 для файлов и 755 для папок.
Администраторы часто используют простые пароли вроде admin123, а FTP-доступ и панель управления сайтом защищены слабо. Это делает перебор паролей (brute-force) лёгкой задачей. Без двухфакторной аутентификации компрометация одного аккаунта открывает полный доступ ко всей системе.
Скачивание шаблонов и плагинов из сомнительных источников — частая причина скрытого заражения. Такие файлы часто содержат вредоносный код, замаскированный под системные функции. Без предварительного анализа или проверки на вирусы они могут стать «троянским конём» для вашего сайта.
Иногда вирусы попадают на сайт не напрямую, а через скомпрометированный FTP-доступ, заражённый компьютер администратора или уязвимость на стороне хостинга. Даже если сам сайт защищён, доступ к нему может быть получен обходным путём.
Вирусы не появляются на сайте случайно — в каждом случае есть конкретная уязвимость или слабое место в инфраструктуре, через которое происходит проникновение. Ниже — основные способы, как вредоносный код попадает на сайты, работающие на 1С-Битрикс.
Даже небольшая дыра в логике шаблона или нестандартного модуля может дать злоумышленнику возможность загрузить и исполнить вредоносный скрипт. Особенно опасны самописные решения или старые модули, не обновлявшиеся годами. Один неэкранированный параметр в URL может привести к полной компрометации сайта.
Если пароли слабо защищены или используются по умолчанию, атакующий может получить доступ к серверу и внедрить вредоносный код напрямую. Часто такое происходит через скомпрометированные пароли или с заражённого компьютера администратора. После получения доступа вирус размещается в корневой директории, маскируется и запускается при обращении к сайту.
Плагины для CRM, внешние скрипты, аналитика, рекламные баннеры — всё это может быть источником заражения. Злоумышленники внедряют вредоносный код в сторонние ресурсы, а сайт, загружая их, начинает выполнять заражённые скрипты.
Иногда вирус "приходит" вместе с восстановленным сайтом — если заражение уже присутствовало в резервной копии, администратор фактически возвращает проблему на место. Без сканирования и очистки бэкапа восстановление может усугубить ситуацию.
Реже, но всё же встречается — если администратор использует вредоносное расширение для браузера, оно может внедрять скрипты или похищать доступы при входе в админку Битрикс. Такая атака сложно отслеживается и часто остаётся незамеченной.
Вот основные причины:
Это лишь несколько примеров, и важно понимать, что заражение сайтов вирусами может привести к серьезным последствиям как для владельцев сайтов, так и для их посетителей.
После взлома сайта злоумышленники редко ограничиваются одним способом внедрения. Обычно они размещают целый набор вредоносных файлов — от простых шеллов до сложно замаскированных скриптов, встроенных в системные компоненты CMS. Вот самые часто встречающиеся типы вредоносных файлов на Битриксе:
Важно еще понимать, что платформа Битрикс Управление сайтом является лидером среди коммерческих систем в России, поэтому не мудрено, что данные атаки произошли. Мы в один период времени, примерно в 2015-2016 году, по этой причине ушли от разработки сайтов на Joomla, так как в одно время, столкнулись с массовыми заражениями сайтов на данной платформе.
Денис Ковальчук руководитель lidzavod.ru и kovalchukk.ruЭтот файл обычно размещается в директории /bitrix/admin/ и позволяет выполнять любые PHP-команды прямо с браузера. Часто он замаскирован под системный файл и может не сразу вызывать подозрение. Через accesson.php можно загружать новые вирусы, изменять файлы сайта, выполнять SQL-запросы и даже скачивать дампы базы данных.
Признаки:
Так называемые веб-шеллы дают злоумышленнику удалённый терминал в браузере. Через них можно управлять файлами, правами доступа, запускать скрипты. Они часто имеют простейший интерфейс с формой для ввода команд, но могут быть зашифрованы или выглядеть как обычный скрипт.
Признаки:
Многие вредоносные скрипты стараются «слиться» с окружением, подделывая имя под системный файл. Они размещаются в папках /bitrix/, /local/, /upload/, где редко проверяются вручную. Часто эти файлы шифруются и содержат длинные строки base64, чтобы затруднить анализ.
Признаки:
Один из самых коварных подходов — встроить вирус в существующие важные файлы. Например, в init.php добавляют вредоносный код в начало файла, чтобы он исполнялся на каждом запуске сайта. Такие вирусы незаметны для пользователя и работают постоянно.
Признаки:
Ниже мы разберём не только сами вредоносные файлы, но и места, где они чаще всего прячутся в структуре сайта.
Файл index.php является точкой входа на большинстве сайтов, включая те, что работают на CMS 1С-Битрикс. Злоумышленники часто выбирают его для внедрения вредоносного кода, поскольку он гарантированно выполняется при каждом обращении к сайту.
Признаки заражения файла index.php::
Рекомендации по устранению:
Вирус может менять правила перенаправлений, чтобы трафик сайта уходил на сторонние ресурсы — фишинговые страницы, спам-лендинги или вредоносные скрипты. Такой вирус в .htaccess Битрикс часто называют типичным примером скрытого взлома сайта. Иногда файл .htaccess также используется для блокировки доступа к админке реальным пользователям, но при этом оставляет лазейки для злоумышленников.
Признаки заражения файла index.php::
Иногда заражение происходит не из-за внешнего вторжения, а уже «изнутри» — через используемый шаблон. Некоторые версии популярных коммерческих шаблонов, таких как Аспро (Aspro), особенно скачанные с неофициальных источников, могут содержать вредоносные вставки. Это может быть скрытый JavaScript, SEO-редиректы или встроенные PHP-бэкдоры.
Признаки:
Рекомендации:
Совпадение это или так сложилось, но первая серьезная волна заражения началась в первом-втором квартале 2022 года.
К концу 2023 года Битрикс обновил свою Проактивную защиту и добавил в нее Антивирус, который позволяет на данный момент увидеть зараженные файлы, проверить их и в случае необходимости либо удалить, либо добавить в карантин. Важный момент, Антивирус доступен в обновлениях 2023 года и для того, чтобы его получить, необходимо иметь активную лицензию.
Что же делать и как быть тем, кто столкнулся с недоступностью сайта, c 500 ошибкой, недоступностью админки для пользователя и др. проявлениями заражения. Давайте пройдемся и пошагово покажем вам все этапы очистки сайта от вирусов, его восстановлении и дальнейших рекомендациях.
Первое и важное, проявления заражения вирусами платформы Битрикс, да и других платформ могут быть абсолютно разными. Ниже с чем сталкивались мы:
Недоступность административной части сайта на Битрикс
Белый экран или 500 ошибка сайта на Битрикс
Белый экран или 500 ошибка Битрикс
404 ошибка в каталогах сайта
Не подходят логин или пароль от административной части сайта
Для этого необходимо подключиться к сайту по ftp/sftp или файловому менеджеру хостинг провайдера и зайти в корневую директорию, где находятся файлы сайта на Битрикс.
Первым делом мы должны проверить файл index.php, .htaccess и urlrewrite.php
На данном этапе может быть три варианта событий с файлом index.php:
— index.php может быть полностью заменен на файл трояна, а родной файл index.php переименован.
— index.php может быть изменен и добавлен php код в начало страницы
В этом случае вам необходимо удалить весь лишний код, который как правило подключается в начале страницы (см пример выше, смело удаляйте до строчки подключения header.php)
— index.php может быть удален и заменен на файл трояна. Данный случай крайне не приятный и как правило происходит в том случае если троян сидит на сайте длительное время (об этом ниже более подробно будет описано). В данном случае есть два варианта (первый вариант если у вас есть бэкапы, то следует откатить файл на дату, при которой изменений в данном файле нет, если же бэкапы отсутствуют, то в зависимости от структуры данного файла и его компонентной базы, можно восстановить используя верстку или вебархив).
Также и с файлом .htaccess и urlrewrite.php:
— htaccess, urlrewrite.php может быть полностью заменен, а родной файл лежать в корне с другим наименованием
— htaccess может быть полностью заменен и удален родной файл
Содержимое замененного файла htaccess
— htaccess может быть полностью удален
На примере сайта клиента мы видим, что файл .htaccess отсутствует, в файле index.php и urlrewrite.php нет изменений.
Поэтому мы загружаем родной файл .htaccess Битрикс. Кому необходимо могут его скачать ниже к статье, где приложены все файлы, которые могут понадобиться для восстановления сайта на Битрикс после заражения вирусами.
Скачиваем и заливаем его в корень, если есть изменения в файле вы можете его удалить и залить также новый файл.
Трояны, которые сейчас встречаются, создают дополнительные файлы и папки.
Первым делом необходимо удалить те файлы, которые блокируют доступ к папкам Битрикс и к разделам сайта.
Например, может быть доступна главная страница сайта, а каталог сайта не доступен или не доступна административная часть. Как правило это из-за сторонних файлов .htaccess
Достаточно его удалить из корня папки, но это только 1 файл, как правило сейчас они создаются массово по множеству папок и тут лучше зачистить все данные файлы с помощью ssh.
Ниже представлен алгоритм очистки:
- Удаление всех файлов .htaccess (после удаления не забудьте проверить наличие и и если его нет, то залить родной файл в корень сайта)
Лучше всего удалить данные файлы поможет команда ssh следующего содержимого:
find . -type f -perm 0444 -name ".htaccess" -delete;
либо
find . -type f -perm 0644 -name ".htaccess" -delete;
Далее необходимо удалить файлы и папки, которые были созданы трояном в структуре Битрикс. Если знаний файловой структуры не высокие у специалиста, можно удалить нужные файлы или папки, поэтому важно восстановить в первую очередь доступ в административную часть сайта, а потом используя встроенные инструменты Битрикс или модуль Антивирус, найти зараженные файлы и добавить все либо в карантин, либо удалить.
Также вирус создает другие файлы и папки. Для быстроты процесса, можно воспользоваться командой ssh и удалить все файлы созданные после даты, которые были созданы после недоступности сайта.
Задача, сводится к тому, чтобы запустить админку сайта.
В первых атаках, подвергался файл bx_root.php изменениям. Данный файл находится по адресу:
/bitrix/modules/main/
Ниже в статье можно скачать оригинальный файл Битрикс, либо удалите старый файл и залейте новые, либо замените содержимое.
Лечение вирусов в Битрикс возможно даже без активной лицензии — с помощью утилиты bitrix.xscan. Это бесплатный антивирусный сканер от самой 1С-Битрикс, который раньше входил в состав системы безопасности, пока её не включили в ядро с версии "Старт". Модуль позволяет проанализировать файлы сайта и обнаружить следы заражения даже в скрытых или замаскированных скриптах.
Установка простая, загружаете архив в папку
bitrix/modules
Распаковываете его, название в папке должно быть
bitrix.xscan
После того, как распаковали, переходите по ссылке
/bitrix/admin/partner_modules.php?lang=ru
и проводите установку данного модуля.
Модуль успешно установлен. Начинаем работу по зачистке остатков вирусов.
Проверяем еще раз все файлы .htaccess (переходим по ссылке /bitrix/admin/bitrix.xscan_htaccess.php ). Как правило должно быть не более 5 подобных фаайлов. Если больше, то смело кликаем Удалить все и установить минимальный набор.
Ищем зараженные файлы (переходим по ссылке /bitrix/admin/bitrix.xscan_worker_fork.php)
Важный момент, файлы не все зараженные. Антивирус ищет подозрительные файлы, смотрите на дату изменения файлов и на содержимое, если не уверены, то не удаляйте, а добавляйте файлы в карантин.
Важно! Если у вас нет активной лицензии, то скорее всего заражение сайта могло пройти через пару компонентов, которые нужно удалить путем удаление папок:
/bitrix/modules/vote/
/bitrix/tools/vote/
Если у вас есть активная лицензия на Битрикс и после манипуляций п.1 и п.2 получилось попасть в админку, то вам необходимо накатить последние изменения и обновления ядра Битрикс Управление сайтом.
В административной части сайта появиться модуль Проактивная защита, с последними обновлениями и проводим такие же манипуляции как в п.3 (только данные пункты доступны в разделе Проактивная защита).
Мы ни разу в практике не видели сторонние агенты на сайте, но пишут, что они создаются.
Поэтому рекомендуем посмотреть вкладку Агенты и удалить сторонние.
В одном из последних вылеченных сайтов мы заметили, что в дату заражения был создан юзер см скриншот ниже. Также удаляем всех пользователей, которые были созданы не вами.
Если ваш сайт не содержит Личный кабинет/Регистрацию и тд у пользователей, рекомендуем удалить папку в корне сайта /auth.
И отключите возможность самостоятельной регистрации пользователей в Настройках Главного модуля (ссылка /bitrix/admin/settings.php?lang=ru&mid=main&mid_menu=1 )
Файлы вируса также могут быть в папках с кэшем.
Необходимо удалить содержимое следующих папок:
/bitrix/cache/
и
/bitrix/managed_cache
Для защиты от вредоносного кода, а также для поиска вирусов Битрикс, включая скрытые скрипты и трояны в структуре сайта, рекомендуется использовать модуль bitrix.xscan. Он поможет организовать поиск троянов на Битриксе, в том числе если сайт работает без активной лицензии. Данный модуль можно скачать в конце статьи — он позволяет вручную просканировать файлы, найти подозрительные участки кода, бэкдоры и попытки скрытого доступа. Если у вас есть активная лицензия, то используйте встроенную Проактивную защиту Битрикс, которая работает в реальном времени и позволяет оперативно обнаруживать вредоносную активность.
В статье мы рассмотрели максимально оптимальный вариант шагов для восстановления доступа к сайту и очистки его от вирусов.
Письмо Центра мониторинга инцидентов 1С-Битрикс
В марте 2025 года были зафиксированы единичные случаи заражения сайтов — вирусы распространялись через уязвимости в устаревших версиях следующих решений.
От компании «eSolutions»:
От компании «Маяк»:
По данным Центра мониторинга, разработчик исправил уязвимости в этих решениях ещё в 2023 году и выпустил патчер. Однако некоторые владельцы сайтов пренебрегли обновлением, что сделало их ресурсы уязвимыми для атак.
Если ваш сайт использует решения от «eSolutions» и «Маяк», необходимо срочно проверить их актуальность.
Вылечим. Обновим. Возьмем на техническую поддержку
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение по услуге "Упаковка под ключ" со скидкой за 119 000₽
Укажите ваш e-mail
Мы отправим вам 20 рабочих источников трафика на 2023-2024 году!