Начиная с конца 2022 года, сайты на платформе Битрикс подвергаются массовому заражению вирусами и троянами. Ниже я и руководитель отдела разработки, Сергей Романов, написали, как нам кажется, подробную статью о том, откуда берутся вирусы, кому это надо и как с этим бороться собственными силами, а если нет таких возможностей к кому обратиться.
Денис Ковальчук, руководитель Kovalchukk.ru / lidzavod.ru. Мы находимся в Ижевске, работает с клиентами по России. Подписывайтесь на мой канал в телеграме https://t.me/lid_zavod
В обще вирусы встречаются не только для Битрикс, но также и на сайтах под управлением Wordpress, Joomla, ModX и др.
Для чего в обще происходит заражение сайтов? Если кратко, то:
Это лишь несколько примеров, и важно понимать, что заражение сайтов вирусами может привести к серьезным последствиям как для владельцев сайтов, так и для их посетителей.
Можно написать большую отдельную статью на эту тему.
Важно еще понимать, что платформа Битрикс Управление сайтом является лидером среди коммерческих систем в России, поэтому не мудрено, что данные атаки произошли. Мы в один период времени, примерно в 2015-2016 году, по этой причине ушли от разработки сайтов на Joomla, так как в одно время, столкнулись с массовыми заражениями сайтов на данной платформе.
Денис Ковальчук руководитель lidzavod.ru и kovalchukk.ruСовпадение это или так сложилось, но первая серьезная волна заражения началась в первом-втором квартале 2022 года.
К концу 2023 года Битрикс обновил свою Проактивную защиту и добавил в нее Антивирус, который позволяет на данный момент увидеть зараженные файлы, проверить их и в случае необходимости либо удалить, либо добавить в карантин. Важный момент, Антивирус доступен в обновлениях 2023 года и для того, чтобы его получить, необходимо иметь активную лицензию.
Что же делать и как быть тем, кто столкнулся с недоступностью сайта, c 500 ошибкой, недоступностью админки для пользователя и др. проявлениями заражения. Давайте пройдемся и пошагово покажем вам все этапы очистки сайта от вирусов, его восстановлении и дальнейших рекомендациях.
Первое и важное, проявления заражения вирусами платформы Битрикс, да и других платформ могут быть абсолютно разными. Ниже с чем сталкивались мы:
Недоступность административной части сайта на Битрикс
Белый экран или 500 ошибка сайта на Битрикс
Белый экран или 500 ошибка Битрикс
404 ошибка в каталогах сайта
Не подходят логин или пароль от административной части сайта
Для этого необходимо подключиться к сайту по ftp/sftp или файловому менеджеру хостинг провайдера и зайти в корневую директорию, где находятся файлы сайта на Битрикс.
Первым делом мы должны проверить файл index.php, .htaccess и urlrewrite.php
На данном этапе может быть три варианта событий с файлом index.php:
— index.php может быть полностью заменен на файл трояна, а родной файл index.php переименован.
— index.php может быть изменен и добавлен php код в начало страницы
В этом случае вам необходимо удалить весь лишний код, который как правило подключается в начале страницы (см пример выше, смело удаляйте до строчки подключения header.php)
— index.php может быть удален и заменен на файл трояна. Данный случай крайне не приятный и как правило происходит в том случае если троян сидит на сайте длительное время (об этом ниже более подробно будет описано). В данном случае есть два варианта (первый вариант если у вас есть бэкапы, то следует откатить файл на дату, при которой изменений в данном файле нет, если же бэкапы отсутствуют, то в зависимости от структуры данного файла и его компонентной базы, можно восстановить используя верстку или вебархив).
Также и с файлом .htaccess и urlrewrite.php:
— htaccess, urlrewrite.php может быть полностью заменен, а родной файл лежать в корне с другим наименованием
— htaccess может быть полностью заменен и удален родной файл
Содержимое замененного файла htaccess
— htaccess может быть полностью удален
На примере сайта клиента мы видим, что файл .htaccess отсутствует, в файле index.php и urlrewrite.php нет изменений.
Поэтому мы загружаем родной файл .htaccess Битрикс. Кому необходимо могут его скачать ниже к статье, где приложены все файлы, которые могут понадобиться для восстановления сайта на Битрикс после заражения вирусами.
Скачиваем и заливаем его в корень, если есть изменения в файле вы можете его удалить и залить также новый файл.
Трояны, которые сейчас встречаются, создают дополнительные файлы и папки.
Первым делом необходимо удалить те файлы, которые блокируют доступ к папкам Битрикс и к разделам сайта.
Например, может быть доступна главная страница сайта, а каталог сайта не доступен или не доступна административная часть. Как правило это из-за сторонних файлов .htaccess
Достаточно его удалить из корня папки, но это только 1 файл, как правило сейчас они создаются массово по множеству папок и тут лучше зачистить все данные файлы с помощью ssh.
Ниже представлен алгоритм очистки:
- Удаление всех файлов .htaccess (после удаления не забудьте проверить наличие и и если его нет, то залить родной файл в корень сайта)
Лучше всего удалить данные файлы поможет команда ssh следующего содержимого:
find . -type f -perm 0444 -name ".htaccess" -delete;
либо
find . -type f -perm 0644 -name ".htaccess" -delete;
Далее необходимо удалить файлы и папки, которые были созданы трояном в структуре Битрикс. Если знаний файловой структуры не высокие у специалиста, можно удалить нужные файлы или папки, поэтому важно восстановить в первую очередь доступ в административную часть сайта, а потом используя встроенные инструменты Битрикс или модуль Антивирус, найти зараженные файлы и добавить все либо в карантин, либо удалить.
Также вирус создает другие файлы и папки. Для быстроты процесса, можно воспользоваться командой ssh и удалить все файлы созданные после даты, которые были созданы после недоступности сайта.
Задача, сводится к тому, чтобы запустить админку сайта.
В первых атаках, подвергался файл bx_root.php изменениям. Данный файл находится по адресу:
/bitrix/modules/main/
Ниже в статье можно скачать оригинальный файл Битрикс, либо удалите старый файл и залейте новые, либо замените содержимое.
Если у вас нет активной лицензии, то для анализа сайта, можно использовать антивирус, который был официальным модулем Битрикс (пока они не включили Проактивную защиту в ядро с версии Старт).
Ниже статьи можно скачать архив на данный модуль.
Установка простая, загружаете архив в папку
bitrix/modules
Распаковываете его, название в папке должно быть
bitrix.xscan
После того, как распаковали, переходите по ссылке
/bitrix/admin/partner_modules.php?lang=ru
и проводите установку данного модуля.
Модуль успешно установлен. Начинаем работу по зачистке остатков вирусов.
Проверяем еще раз все файлы .htaccess (переходим по ссылке /bitrix/admin/bitrix.xscan_htaccess.php ). Как правило должно быть не более 5 подобных фаайлов. Если больше, то смело кликаем Удалить все и установить минимальный набор.
Ищем зараженные файлы (переходим по ссылке /bitrix/admin/bitrix.xscan_worker_fork.php)
Важный момент, файлы не все зараженные. Антивирус ищет подозрительные файлы, смотрите на дату изменения файлов и на содержимое, если не уверены, то не удаляйте, а добавляйте файлы в карантин.
Важно! Если у вас нет активной лицензии, то скорее всего заражение сайта могло пройти через пару компонентов, которые нужно удалить путем удаление папок:
/bitrix/modules/vote/
/bitrix/tools/vote/
Если у вас есть активная лицензия на Битрикс и после манипуляций п.1 и п.2 получилось попасть в админку, то вам необходимо накатить последние изменения и обновления ядра Битрикс Управление сайтом.
В административной части сайта появиться модуль Проактивная защита, с последними обновлениями и проводим такие же манипуляции как в п.3 (только данные пункты доступны в разделе Проактивная защита).
Мы ни разу в практике не видели сторонние агенты на сайте, но пишут, что они создаются.
Поэтому рекомендуем посмотреть вкладку Агенты и удалить сторонние.
В одном из последних вылеченных сайтов мы заметили, что в дату заражения был создан юзер см скриншот ниже. Также удаляем всех пользователей, которые были созданы не вами.
Если ваш сайт не содержит Личный кабинет/Регистрацию и тд у пользователей, рекомендуем удалить папку в корне сайта /auth.
И отключите возможность самостоятельной регистрации пользователей в Настройках Главного модуля (ссылка /bitrix/admin/settings.php?lang=ru&mid=main&mid_menu=1 )
Файлы вируса также могут быть в папках с кэшем.
Необходимо удалить содержимое следующих папок:
/bitrix/cache/
и
/bitrix/managed_cache
В статье мы рассмотрели максимально оптимальный вариант шагов для восстановления доступа к сайту и очистки его от вирусов.
Вылечим. Обновим. Возьмем на техническую поддержку
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение и спрогнозирует ориентировочный результат.
Оставьте заявку
С вами свяжется наш специалист, покажет результаты из вашей сферы или смежной. Подготовит предложение по услуге "Упаковка под ключ" со скидкой за 119 000₽
Укажите ваш e-mail
Мы отправим вам 20 рабочих источников трафика на 2023-2024 году!