«Сайт site.ru перестал работать. Техподдержка написала: «Вижу, что на вашем сайте размещены файлы с вредоносными вставками, вероятно ваш сайт был взломан: ./wp-crom.php, ./assets/images/e89a566ba5.php, ./parser/php-proxy/vendor/athlon1600/php-proxy-plugin-bundle/.git/refs/heads/xqBSKJerN.php»
По мотивам запроса от клиентов
Файлы с именами вроде
wp-crom.php в корне Битрикс-сайта = сигнал тревоги. Это не «просто сбой». Это заражённый скрипт, который маскируется под легитимные задачи. Репутация под ударом, сайт недоступен, а хостинг Beget уже зафиксировал угрозу безопасности. Мы восстанавливаем сайты на 1С-Битрикс после взлома. За 24 часа. Фиксированно. Без скрытых доплат.🔍 Симптом: что скрывают файлы wp-crom.php и xqBSKJerN.php
|
Найденный файл
|
Что это значит для вашего сайта
|
|---|---|
./wp-crom.php |
Malware маскируется под
wp-cron.php (WordPress), чтобы остаться незамеченным в логах Битрикс |
./assets/images/e89a566ba5.php |
Заражённый скрипт спрятан в папке изображений — типичный приём для обхода сканеров
|
./.git/refs/heads/xqBSKJerN.php |
Вредоносный код использует служебные директории (.git), где редко ищут угрозы
|
|
Сайт не открывается
|
Угроза безопасности блокирует доступ или создаёт критическую нагрузку на сервер
|
Важно: имена файлов вроде
wp-crom.php (с опечаткой) — признак намеренной маскировки. Злоумышленники рассчитывают, что владелец или сканер пропустит «похожий на легитимный» файл.🚀 Готовы восстановить сайт и убрать вирусы?
Не откладывайте: пока заражённые файлы активны, риск блокировки хостингом и утечки данных растёт.
Напишите нам → пришлите доступы (SSH/SFTP, админка, логи Beget) → через 2 часа дадим диагноз, за сутки вернём сайт в работу.
💰 Стоимость: 4500 ₽
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения работоспособности
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения работоспособности
[🔘 Восстановить сайт на Битриксе]
🩺 Диагностика: как мы находим все очаги угроз за 2 часа
На хостинге Beget проводим экспресс-аудит для 1С-Битрикс:
✅ Сканируем корень сайта и
✅ Проверяем базу Битрикс (
✅ Анализируем логи доступа на запросы к файлам вроде
✅ Ищем malware в служебных папках:
✅ Сверяем контрольные суммы ядра Битрикс с официальным репозиторием 1С
/bitrix/, /upload/, /assets/ на файлы с подозрительными именами (*crom*, *proxy*, хеши в названиях)✅ Проверяем базу Битрикс (
b_event, b_option, b_user) на скрытых администраторов и внедрённые скрипты✅ Анализируем логи доступа на запросы к файлам вроде
wp-crom.php с аномальными параметрами✅ Ищем malware в служебных папках:
.git/, .svn/, vendor/, cache/ — там, где редко ищут✅ Сверяем контрольные суммы ядра Битрикс с официальным репозиторием 1С
«Файлы в папках вроде.git/refs/heads/— это «красный флаг»: злоумышленники используют служебные директории, чтобы скрыть заражённый скрипт от базовых проверок. Без глубокого аудита такие файлы можно пропустить».
— Эксперт по ИБ, 11 лет в восстановлении Битрикс-проектов
🛠️ Протокол восстановления: от поиска вирусов до защиты
Работаем по алгоритму, а не наугад:
- Изоляция угрозы и фиксация состояния
Блокируем выполнение подозрительных файлов через.htaccess/.access.php, останавливаем аномальные процессы, делаем снимок «до». - Ручное удаление вредоносного кода
Находим и удаляем malware из корневого каталога,/bitrix/,/upload/,/assets/. Восстанавливаем оригинальные файлы Битрикс из официального дистрибутива. - Восстановление работы сайта
Проверяем запуск публичной части и админ-панели. Сбрасываем кэш, сессии, права доступа (644/755). Возвращаем стабильную работу. - Усиление защиты от повторных атак
- Обновляем ядро и модули Битрикс до актуальных версий
- Настраиваем 2FA и ограничение доступа к
/bitrix/admin/по IP - Отключаем опасные функции (
eval,exec,base64_decodeв публичных скриптах) - Подключаем мониторинг новых файлов в подозрительных директориях
🎯 Результат: что вы получите за 24 часа
✅ Удаление всех найденных файлов:
✅ Полную очистку от вредоносного кода и скрытых бэкдоров
✅ Восстановленную работу сайта и админ-панели Битрикс
✅ Настроенную защиту от повторного внедрения заражённых скриптов
✅ Прозрачный отчёт: что найдено, что удалено, как не повторится
✅ Гарантию 30 дней на отсутствие повторного взлома
wp-crom.php, e89a566ba5.php, xqBSKJerN.php и связанных с ними✅ Полную очистку от вредоносного кода и скрытых бэкдоров
✅ Восстановленную работу сайта и админ-панели Битрикс
✅ Настроенную защиту от повторного внедрения заражённых скриптов
✅ Прозрачный отчёт: что найдено, что удалено, как не повторится
✅ Гарантию 30 дней на отсутствие повторного взлома
⚠️ Верифицированные уязвимости Битрикс, которыми пользуются злоумышленники
Реальные CVE из официальных баз (NVD), которые мы закрываем:
- CVE-2024-34891 (2024) — недостаточная защита учётных данных в DAV-сервере Bitrix24, риск компрометации доступа к файловой системе
- CVE-2023-1720 (2023) — отсутствие заголовка MIME-типа в компонентах Битрикс, позволяет XSS-атаки через формы с последующей инъекцией кода
- CVE-2022-43959 (2022) — недостаточная защита учётных данных при интеграции с AD/LDAP, риск эскалации привилегий в админ-панели
- CVE-2021-44116 (2021) — уязвимость чтения произвольных файлов в компонентах 1С-Битрикс, позволяет получение
dbconn.phpи последующий доступ к БД
Без закрытия этих векторов даже удаление видимых файлов не гарантирует, что угроза безопасности не вернётся через системные уязвимости.