Вирусы на Битриксе: как хакеры проникают в 2025 году?

📌 Уязвимые компоненты:

«Форма обратной связи» (версии до 2024) — позволяет загружать .php-файлы
«Интернет-магазин» — SQL-инъекции в фильтрах каталога
🔧 Как защититься:
✔ Удалить неиспользуемые модули
✔ Обновить оставшиеся до актуальных версий

💻 Как работает:
Хакеры заменяют файлы в папке /bitrix/modules/main/:

Добавляют бэкдоры в admin.php
Внедряют вирусный код в classes/general/captcha.php
📛 Симптомы:
В логах появляются запросы к /bitrix/tools/captcha.php?captcha_code=eval(...)
🔒 Решение:
✔ Сравнить хеши файлов с официальной сборкой

🔑 Статистика 2025:

41% заражений — из-за паролей типа: 123456, qwerty, bitrix
Вирус распространяется через /upload/iblock/
💡 Совет:
✔ Включить двухфакторную аутентификацию для FTP
✔ Запретить запись в /bitrix/ для пользователей FTP

💥 Типичные ошибки разработчиков:

Нет проверки входных данных:

// Опасный код:
$file = $_GET['file']; 
include("/bitrix/modules/" . $file);

Использование eval() для обработки форм
🛡️ Что делать:
✔ Провести аудит кастомного кода
✔ Заменить eval() на json_decode()

📩 Схема атаки:

Хакер рассылает письма:
«Ваш Битрикс устарел! Обновите через этот архив: update_bitrix_2025.zip»
В архиве — троян bitrix_updater.php
🛑 Как распознать:
✔ Официальные обновления — только через Marketplace
✔ Проверять сертификаты SSL у отправителей

Обновить:
- Битрикс → 24.0.0 (вышла в январе 2025)
- PHP → 8.2+ (устаревшие версии 7.4 взламывают за минуты)
Проверить:
- Файлы в /bitrix/modules/ (дата изменения)
- Запросы в логах к /bitrix/tools/
Закрыть:
- Доступ к /bitrix/admin/ по IP
- Выполнение PHP в /upload/ через .htaccess

📌 Важно: 82% взломов можно было предотвратить своевременным обновлением. Не игнорируйте уведомления системы!

🔗 Полезное:

#битрикс #безопасность #хостинг

(В следующем посте разберём пошаговую инструкцию по очистке заражённого сайта. Подпишись, чтобы не пропустить!)

💬 Вопросы? Пишите в комментарии — разберём ваш кейс!
✉️ Консультации: @AntivirusTeam