В последнее время ко мне массово обращаются клиенты с жалобой на взлом сайтов на Битрикс. Действительно, в старых версиях CMS Битрикс присутствует критическая уязвимость, позволяющая из-за недостаточной фильтрации данных, удалённо залить вредоносный код на сервер.

Об уязвимости стало известно ещё в середине 2022 года, тогда была первая волна массовых взломов. Сейчас же наблюдается вторая волна — страдают практически все сайты с неактуальной версией Битрикс.

Разработчики уязвимость признали, однако судя по всему уязвим не только модуль vote. Так как взламывают и те сайты, где его никогда не было. Единственное решение, которое они предложили — это обновление Битрикс до последней версии.

Как определить, что ваш сайт уже взломали

В админке Битрикса загляните в Агенты. Если видите там что-то подобное, значит 100%, что ваш сат подвергся взлому.

Взлом битрикс

Однако, как показала практика, «левый» агент бывает не всегда.

Посмотрите файлы сайта. Обычно прямо в корне могут появиться файлы с рандомными буквенно-циферными именами. Очень часто такой файл находится в папке /bitrix/admin/.

В нескольких случаях в каждой папке сайта на CMS Битрикс был создан файл .htaccess. На одном из сайтов я насчитал их 15000 штук 🙂

Могут быть модифицированы .php и .js файлы сайта, в них дописан вредоносный код.

В нескольких случаях вредоносный код был дописан в index.php сайта, причём если удалить его оттуда, или даже удалить полностью сам файл, он тут же автоматически появлялся снова.

Во всех случаях на сайтах были найдены десятки вредоносных .php файлов в абсолютно рандомных папках, с рандомными именами, кодом и датой модификации.

Как почистить сайт от вредоносного кода и устранить последствия взлома

Если контент на вашем сайте редко обновляется, известна дата взлома и у вас есть заведомо чистая резервная копия — самый простой способ, это удалить все файлы и базу сайта, и далее восстановить их из резервной копии. Нужно делать именно так, а не восстанавливать бэкап поверх существующих файлов, так как при распаковке поверх, вредоносные файлы никуда не денутся.

Если же бэкапа нет, или контент сайта постоянно обновляется, то нужно:

  • Удалить Агент в админке, если он есть.
  • Найти и удалить все вредоносные файлы, а также восстановить те, которые были модифицированы.

Здесь я не могу дать общего совета как искать, так как каждый раз случай уникален. Пользуйтесь командой find, ищите по дате модификации, правам, пробуйте искать .php файлы в тех папках, где их вообще не должно быть. Используйте антивирусы типа ImunifyAV, и т.д. Однако все способы нужно обязательно комбинировать. Например, тот же антивирус обычно не находит и половины вредоносных файлов.

ВАЖНО! Восстанавливать сайт из резервной копии можно лишь в том случае, если вам достоверно известна дата первоначального взлома, и вы на 100% уверены, что имеющаяся резервная копия абсолютно чиста.  Тоже самое касается и обновлений — обновлять систему нужно только после того, как будет удалён весь вредоносный код. В противном случае взломы продолжатся, но при этом вы в несколько раз усложните себе, или специалисту, работу по поиску вредоносных файлов.

Если вам нужна помощь с полной проверкой вашего сайта на Битрикс под ключ, с удалением всего вредоносного кода, можно обратиться ко мне, по любым удобным контактам.

Стоимость услуги составит 100 BYN (≈3000 RUB или $35 USD). 

Как закрыть уязвимость и предотвратить взлом сайтов на Битрикс в дальнейшем

Правильный способ только один — это обновить Битрикс до последней, актуальной версии. Другого способа разработчики не предоставили. И да, для этого потребуется активная лицензия.

Существует и временное решение, запретить POST запросы к тем файлам сайта, через которые и происходит взлом. Этот список был вычислен при исследовании логов запросов к пострадавшим сайтам. Однако повторюсь — решение временное, оно не даёт 100% гарантии, и к тому же «ломает» часть функционала админки сайта.

Использовать его следует только тогда, когда прямо сейчас обновиться нет возможности. Для этого в файлы:

  • /bitrix/tools/upload.php
  • /bitrix/tools/mail_entry.php
  • /bitrix/modules/main/include/virtual_file_system.php
  • /bitrix/components/bitrix/sender.mail.editor/ajax.php
  • /bitrix/tools/vote/uf.php
  • /bitrix/tools/html_editor_action.php
  • /bitrix/admin/site_checker.php

(у вас могут присутствовать не все из них) в начало, перед required добавьте следующий код код:

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    header("Status: 404 Not Found");
    die();
}

После обновления Битрикс, этот код из файлов нужно будет удалить.

UPD 26.05.2023 — массовый взлом от лица IT ARMY of Ukraine.

Сегодня снова было взломано огромное количество сайтов, на Битрикс. Была заменена главная страница сайтов, вместо неё можно было наблюдать следующее:

Также при этом полностью были удалены папки bitrix и upload. Взломаны были сайты на абсолютно разных версиях битрикс, даже на актуальный.

Однако анализ логов показал, что взлом был осуществлён через бэкдоры, оставленные ранее. То есть, например, хотя битрикс и был обновлён до новой версии, однако перед этим не были найдены все бэкдоры, оставленные на сайте. Через них и произошёл взлом.

В данном конкретном случае единственная возможность восстановить сайт — это восстановить его из резервной копии. А затем, обязательно найти бэкдоры, которые были заранее размещены на нём. В противном случае сайт будет взломан повторно.

Если вам необходима помощь, вы по прежнему можете обратиться за ней ко мне по любым контактам с этой страницы.

Нужна профессиональная удалённая помощь с сервером, сайтом, компьютером или ноутбуком?

Свяжитесь со мной любым удобным для вас способом, и получите её быстро и не дорого.

Обсудить задачу

Помогла статья? Поблагодари автора!

Остались вопросы, или есть что добавить? Добро пожаловать в комментарии.

Угостить автора чашечкой кофе

Недавние записи

Критическая уязвимость в Elementor Pro

Критическая уязвимость в Elementor Pro — популярном плагине WordPress

В версии, 3.11.7, плагина Elementor Pro выпущенной  22 марта 2023 года, устранена...
Подробнее
Яндекс Метрика

Битрикс Веб-окружение и проблемы с Вебвизор Яндекс Метрики из-за заголовка X-Frame-Options

В Битрикс Веб-окружении по умолчанию в настройках Nginx прописан заголовок X-Frame-Options, который...
Подробнее
Массовый взлом сайтов на Битрикс 2023

Массовый взлом сайтов на Битрикс 2023

В последнее время ко мне массово обращаются клиенты с жалобой на взлом...
Подробнее
Битрикс - Резервное копирование по FTP

Битрикс: Веб-окружение — бэкапы на удалённый FTP сервер.

1С-Битрикс: Веб-окружение умеет создавать резервные копии только на тот же сервер, на...
Подробнее
find

Команда Find в Linux — как найти и удалить файлы и папки

Команда find предназначена для поиска файлов и папок в файловой системе Linux....
Подробнее
спам

Exim — мониторинг почтовой очереди для выявления исходящего спама

Очень часто случается так, что на сервере присутствуют сайты с неактуальными версиями...
Подробнее
Архиватор Linux

Как работать с архиваторами в консоли Linux (шпаргалка)

Часто при работе в консоли linux приходится создавать архивы, или наоборот распаковывать...
Подробнее
Логирование POST запросов

Логирование POST запросов к сайту

Довольно часто возникают ситуации, когда обычных логов, которые пишет вебсервер, бывает недостаточно....
Подробнее
Linux изменить текстовый редактор

Как в Linux изменить текстовый редактор по умолчанию

В Linux существует несколько текстовых редакторов. Vim, Nano, Mcedit, и другие. У...
Подробнее
выполнение всех агентов на cron

Битрикс — выполнение всех агентов на cron

В Битрикс по умолчанию агенты выполняются на хитах. То есть триггером для...
Подробнее
GA-H61M-S2PV (rev. 2.1) циклическая перезагрузка

Gigabyte GA-H61M-S2PV (rev. 2.1) циклическая перезагрузка (решено)

Принесли в ремонт компьютер с материнской платой Gigabyte GA-H61M-S2PV (rev. 2.1). Компьютер...
Подробнее
MySQL

Перенос большой базы MySQL, если не достаточно места для дампа

Сегодня при переносе сайта с огромной базой MySQL с одного виртуального сервера...
Подробнее
Telegram MTProto Proxy

Как поднять собственный Telegram MTProto Proxy

MTProto, это специальный протокол разработанный командой Дурова, предназначенный для шифрования трафика мессенджера...
Подробнее
Налог на профессиональный доход

Как стать самозанятым в Беларуси — налог на профессиональный доход

С 1 января 2023 года в Беларуси появился новый налоговый режим -...
Подробнее
фсзн

ФСЗН — узнать свой стаж в Беларуси можно через мобильное приложении

1 февраля 2023 года ФСЗН Беларуси запустил мобильное приложение, с помощью которого...
Подробнее
RustDesk

RustDesk — как получить компьютерную помощь онлайн

RustDesk - новая программа с открытым исходным кодом для удалённого управления устройствами....
Подробнее
Microlab M-800 не включается

Акустика Microlab M-800 не включается — Ремонт

Принесли в ремонт компьютерную акустику Microlab M-800 с диагнозом "не включается". У...
Подробнее
умный бесперебойник с WiFi

Делаем умный бесперебойник с WiFi и подключаем его к умному дому с Алисой

Недавно я рассказывал как можно удалённо включать и выключать свой компьютер через...
Подробнее
перенос сайта на другой сервер через SSH

Быстрый перенос сайта на другой сервер через SSH

Современные сайты и их базы данных могут быть очень большими, и перенос...
Подробнее
Включаем и выключаем компьютер удалённо

Включаем и выключаем компьютер удалённо, или через умный дом.

Иногда бывают ситуации, когда нужно включить или выключить компьютер удалённо. Например, включить...
Подробнее
блокируем вредных ботов

Nginx — блокируем вредных ботов.

В сети существует огромное количество ботов, которые занимаются сканированием сайтов. Некоторые боты...
Подробнее
cron

Cron — переход по ссылке с параметрами в URL

Cron - планировщик в Linux для запуска задач по расписанию. Обычно он...
Подробнее

Contact Form 7 — удаляем значок Google reCaptcha со страниц сайта.

Популярный плагин для создания контактных форм на сайтах под управлением Wordpress, Contact...
Подробнее
MySQL

Автоматическое завершение долгих процессов Mysql

Бывают случаи, когда некоторые запросы Mysql подвисают и выполняются невероятно долго, создавая...
Подробнее

Шпаргалка по командам EXIM

Exim — это агент пересылки сообщений для ОС Linux. В этой шпаргалке,...
Подробнее
подборка полезных программ

Windows — подборка полезных программ.

Небольшая подборка полезных программ, которые я рекомендую к использованию на компьютерах и...
Подробнее
Это приложение не позволяет выключить компьютер

Отключаем уведомление «Это приложение не позволяет выключить компьютер»

При выключении компьютера Windows или при его перезагрузке часто можно встретить, как...
Подробнее

Windows 11 как установить Internet Explorer, как зайти в личный кабинет налоговой и портал ФСЗН

В новой Windows 11 компания Microsoft полностью удалила браузер Internet Explorer, который...
Подробнее

Удалённая компьютерная помощь. Что это и как?

Большинство проблем с вашим компьютером или ноутбуком можно решить удалённо, не выезжая...
Подробнее
Введите текст для поиска...