В последнее время владельцы ресурсов на Битриксе сталкиваются с заражением сайта вирусом. Это не говорит о том, что Битрикс на столько плох, видимо у вас обнаружили дыру в безопасности сайта или украли пароли ftp. Если на вашем ресурсе была замечена странная активность:
- появились рекламные блоки,
- на мобильных устройствам редиректит на другие ресурсы,
- снизилась посещаемость сайта.
Поздравляем, на вашем ресурсе по всей видимости вредоносный код.
Как бороться с вирусами на сайте
1) В первую очередь для лечения сайтов на Битриксе
сделайте резервную копию сайта (файлы + БД). После чего
скопируйте все файлы на локальный компьютер и проверьте антивирусом. Все найденные подозрительные файлы очистить от вредоносного кода или вовсе удалить.
2) Анализируем файлы на присутствие таких слов, как «
iframe», «
exploit», «
shell», «
javascript», «
unescape», «
eval», кода в формате
base64. Содержание в коде этих функций может говорить о заражении. Будьте внимательны в некоторых системных файлах Битрикса содержится base64 и eval, постарайтесь не удалить нужное.
Пример вредоностного кода с использованием «eval»
Закодированный код в base64
Для поиска вставок запускаем команды через ssh:
find . -name *.php | xargs grep -rlE '[A-Za-z0-9]{50,}'
grep -rlE '(\\[A-Za-z0-9]{2,3}){5,}' .
3) Воспользуемся утилитой
aibolit для поиска вредоносного кода. Данная утилита позволит обнаружить вирус с
вероятностью 70%. Скачиваем скрипт
http://www.revisium.com/ai/. Распаковываем.
Руководство по использованию aibolit можно посмотреть на официальном сайте. Смотрим отчет и удаляем найденный вредоносный код.
4)
Просматриваем .htaccess на наличие мобильных редиректов
5)
просматриваем js файлы на наличие редиректов и iframe вставок
6)Для поиска уязвимости в коде CMS Битрикс воспользуемся готовым модулем
поиска троянов https://marketplace.1c-bitrix.ru/solutions/bitrix.xscan/
7)Не забываем запустить:
Веб-антивирус ваш-домен/bitrix/admin/security_antivirus.php и
Сканер безопасности ваш-домен/bitrix/admin/security_scanner.php
8) Меняем ftp, ssh доступы и пароль от админки
ЕСЛИ У ВАС НЕ ПОЛУЧАЕТСЯ САМОСТОЯТЕЛЬНО УДАЛИТЬ ВИРУС С САЙТА, СВЯЖИТЕСЬ С НАМИ, ПОМОЖЕМ!