+7 (950) 836-54-64
sale@lidzavod.ru
г Ижевск, ул. Автозаводская 5
Пн-Пт с 9:00 - 18:00
 
Вирусы Битрикс: откуда берутся и для чего используются. Пошаговое восстановление сайтов после вирусов
Статья 27 января 2024

Вирусы Битрикс: откуда берутся и для чего используются. Пошаговое восстановление сайтов после вирусов

Начиная с конца 2022 года, сайты на платформе Битрикс подвергаются массовому заражению вирусами и троянами. Ниже я и руководитель отдела разработки, Сергей Романов, написали, как нам кажется, подробную статью о том, откуда берутся вирусы, кому это надо и как с этим бороться собственными силами, а если нет таких возможностей к кому обратиться.

ЛидЗавод в телеграм

Денис Ковальчук, руководитель Kovalchukk.ru / lidzavod.ru. Мы находимся в Ижевске, работает с клиентами по России. Подписывайтесь на мой канал в телеграме https://t.me/lid_zavod

Вирусы на сайтах Битрикс: откуда берутся и для чего используются.

В обще вирусы встречаются не только для Битрикс, но также и на сайтах под управлением Wordpress, Joomla, ModX и др.

Для чего в обще происходит заражение сайтов? Если кратко, то:

  • Кражи информации: Злоумышленники могут использовать вредоносные программы для кражи личной информации пользователей, такой как данные банковских карт, пароли, адреса электронной почты и другие конфиденциальные сведения
  • Распространения спама: Вирусы на сайте могут быть использованы для отправки спама, в том числе через скрытую почтовую рассылку или размещение спам-ссылок.
  • Ущербу репутации: Злоумышленники могут заразить сайт с целью распространения вредоносного контента или вредоносных рекламных материалов, что может нанести ущерб репутации владельцу сайта.
  • Внедрения вредоносных скриптов: В некоторых случаях сайты могут быть заражены с целью внедрения вредоносных скриптов на компьютеры посетителей для дальнейшего контроля их действий или нанесения вреда.

Это лишь несколько примеров, и важно понимать, что заражение сайтов вирусами может привести к серьезным последствиям как для владельцев сайтов, так и для их посетителей.

Можно написать большую отдельную статью на эту тему.

image

Важно еще понимать, что платформа Битрикс Управление сайтом является лидером среди коммерческих систем в России, поэтому не мудрено, что данные атаки произошли. Мы в один период времени, примерно в 2015-2016 году, по этой причине ушли от разработки сайтов на Joomla, так как в одно время, столкнулись с массовыми заражениями сайтов на данной платформе.

Денис Ковальчук руководитель lidzavod.ru и kovalchukk.ru

Когда началась волна заражения сайтов на Битрикс

Совпадение это или так сложилось, но первая серьезная волна заражения началась в первом-втором квартале 2022 года.

К концу 2023 года Битрикс обновил свою Проактивную защиту и добавил в нее Антивирус, который позволяет на данный момент увидеть зараженные файлы, проверить их и в случае необходимости либо удалить, либо добавить в карантин. Важный момент, Антивирус доступен в обновлениях 2023 года и для того, чтобы его получить, необходимо иметь активную лицензию.

Признаки атаки вируса на сайт Битрикс

Что же делать и как быть тем, кто столкнулся с недоступностью сайта, c 500 ошибкой, недоступностью админки для пользователя и др. проявлениями заражения. Давайте пройдемся и пошагово покажем вам все этапы очистки сайта от вирусов, его восстановлении и дальнейших рекомендациях.

Первое и важное, проявления заражения вирусами платформы Битрикс, да и других платформ могут быть абсолютно разными. Ниже с чем сталкивались мы:

Недоступность административной части сайта на Битрикс

Белый экран или 500 ошибка сайта на Битрикс

Белый экран или 500 ошибка Битрикс

404 ошибка в каталогах сайта

Не подходят логин или пароль от административной части сайта

Пошаговая инструкция восстановления сайтов Битрикс самостоятельно

Проверка целостности шаблона и главной страницы Битрикс

Для этого необходимо подключиться к сайту по ftp/sftp или файловому менеджеру хостинг провайдера и зайти в корневую директорию, где находятся файлы сайта на Битрикс.

Первым делом мы должны проверить файл index.php, .htaccess и urlrewrite.php

На данном этапе может быть три варианта событий с файлом index.php:

— index.php может быть полностью заменен на файл трояна, а родной файл index.php переименован.

— index.php может быть изменен и добавлен php код в начало страницы

В этом случае вам необходимо удалить весь лишний код, который как правило подключается в начале страницы (см пример выше, смело удаляйте до строчки подключения header.php)

— index.php может быть удален и заменен на файл трояна. Данный случай крайне не приятный и как правило происходит в том случае если троян сидит на сайте длительное время (об этом ниже более подробно будет описано). В данном случае есть два варианта (первый вариант если у вас есть бэкапы, то следует откатить файл на дату, при которой изменений в данном файле нет, если же бэкапы отсутствуют, то в зависимости от структуры данного файла и его компонентной базы, можно восстановить используя верстку или вебархив).

Также и с файлом .htaccess и urlrewrite.php:

— htaccess, urlrewrite.php может быть полностью заменен, а родной файл лежать в корне с другим наименованием

— htaccess может быть полностью заменен и удален родной файл

Содержимое замененного файла htaccess

— htaccess может быть полностью удален

На примере сайта клиента мы видим, что файл .htaccess отсутствует, в файле index.php и urlrewrite.php нет изменений. 

Поэтому мы загружаем родной файл .htaccess Битрикс. Кому необходимо могут его скачать ниже к статье, где приложены все файлы, которые могут понадобиться для восстановления сайта на Битрикс после заражения вирусами.

Скачиваем и заливаем его в корень, если есть изменения в файле вы можете его удалить и залить также новый файл.

Проверка на сторонние папки и файлы

Трояны, которые сейчас встречаются, создают дополнительные файлы и папки.

Первым делом необходимо удалить те файлы, которые блокируют доступ к папкам Битрикс и к разделам сайта.

Например, может быть доступна главная страница сайта, а каталог сайта не доступен или не доступна административная часть. Как правило это из-за сторонних файлов .htaccess

Достаточно его удалить из корня папки, но это только 1 файл, как правило сейчас они создаются массово по множеству папок и тут лучше зачистить все данные файлы с помощью ssh.

Ниже представлен алгоритм очистки:

- Удаление всех файлов .htaccess (после удаления не забудьте проверить наличие и и если его нет, то залить родной файл в корень сайта)

Лучше всего удалить данные файлы поможет команда ssh следующего содержимого:

find . -type f -perm 0444 -name ".htaccess" -delete;

либо

find . -type f -perm 0644 -name ".htaccess" -delete;

Далее необходимо удалить файлы и папки, которые были созданы трояном в структуре Битрикс. Если знаний файловой структуры не высокие у специалиста, можно удалить нужные файлы или папки, поэтому важно восстановить в первую очередь доступ в административную часть сайта, а потом используя встроенные инструменты Битрикс или модуль Антивирус, найти зараженные файлы и добавить все либо в карантин, либо удалить.

Также вирус создает другие файлы и папки. Для быстроты процесса, можно воспользоваться командой ssh и удалить все файлы созданные после даты, которые были созданы после недоступности сайта.

Задача, сводится к тому, чтобы запустить админку сайта.

Проверка bx_root.php

В первых атаках, подвергался файл bx_root.php изменениям. Данный файл находится по адресу:

/bitrix/modules/main/

Ниже в статье можно скачать оригинальный файл Битрикс, либо удалите старый файл и залейте новые, либо замените содержимое.

Если нет активной лицензии Битрикс. Лечим с помощью модуля bitrix.xscan

Если у вас нет активной лицензии, то для анализа сайта, можно использовать антивирус, который был официальным модулем Битрикс (пока они не включили Проактивную защиту в ядро с версии Старт).

Ниже статьи можно скачать архив на данный модуль.

Установка простая, загружаете архив в папку 

bitrix/modules

Распаковываете его, название в папке должно быть 

bitrix.xscan

После того, как распаковали, переходите по ссылке 

/bitrix/admin/partner_modules.php?lang=ru

и проводите установку данного модуля.

Модуль успешно установлен. Начинаем работу по зачистке остатков вирусов.

Проверяем еще раз все файлы .htaccess (переходим по ссылке /bitrix/admin/bitrix.xscan_htaccess.php ). Как правило должно быть не более 5 подобных фаайлов. Если больше, то смело кликаем Удалить все и установить минимальный набор.

Ищем зараженные файлы (переходим по ссылке /bitrix/admin/bitrix.xscan_worker_fork.php)

Важный момент, файлы не все зараженные. Антивирус ищет подозрительные файлы, смотрите на дату изменения файлов и на содержимое, если не уверены, то не удаляйте, а добавляйте файлы в карантин.

Важно! Если у вас нет активной лицензии, то скорее всего заражение сайта могло пройти через пару компонентов, которые нужно удалить путем удаление папок:

/bitrix/modules/vote/

/bitrix/tools/vote/

Если активная лицензия на Битрикс есть.

Если у вас есть активная лицензия на Битрикс и после манипуляций п.1 и п.2 получилось попасть в админку, то вам необходимо накатить последние изменения и обновления ядра Битрикс Управление сайтом.

В административной части сайта появиться модуль Проактивная защита, с последними обновлениями и проводим такие же манипуляции как в п.3 (только данные пункты доступны в разделе Проактивная защита).

Проверка Агентов Битрикс

Мы ни разу в практике не видели сторонние агенты на сайте, но пишут, что они создаются.

Поэтому рекомендуем посмотреть вкладку Агенты и удалить сторонние.

Проверка списка пользователей

В одном из последних вылеченных сайтов мы заметили, что в дату заражения был создан юзер см скриншот ниже. Также удаляем всех пользователей, которые были созданы не вами.

Если ваш сайт не содержит Личный кабинет/Регистрацию и тд у пользователей, рекомендуем удалить папку в корне сайта /auth.

И отключите возможность самостоятельной регистрации пользователей в Настройках Главного модуля (ссылка /bitrix/admin/settings.php?lang=ru&mid=main&mid_menu=1 )

Очистка Bitrix кэша

Файлы вируса также могут быть в папках с кэшем.

Необходимо удалить содержимое следующих папок:

/bitrix/cache/

и

/bitrix/managed_cache

Рекомендации, как защитить сайты на Битрикс от вирусов

В статье мы рассмотрели максимально оптимальный вариант шагов для восстановления доступа к сайту и очистки его от вирусов.

  • Переведите сайт на PHP версии 8+
  • Обновите Битрикс до актуальной версии (для обновления нужна Активная лицензия)
  • Проверяйте сайт на Вирусы с помощью Проактивной защиты или модуля bitrix.xscan
  • Обязательно! Устанавливайте сертификаты безопасности для сайта SSL либо платные, либо бесплатные

Файлы: стандартный htaccess, urlrewrite, bitrix.xscan

  1. htaccess.tar.gz
  2. urlrewrite.tar.gz
  3. Поиск троянов (bitrix.xscan).zip

Лечение сайта на Битрикс

Вылечим. Обновим. Возьмем на техническую поддержку

от 5900₽ от 7900₽
Оставить заявку

Возврат к списку

Оставьте заявку через форму, отправьте на почту sale@lidzavod.ru или напишите в один из мессенджеров:
Давайте начнем знакомство сегодня
в маркетинге с 2012 года. В IT с 2008. Руковожу Kovalchukk.ru и Lidzavod.ru
Денис Ковальчук