Что делать, если сайт всё-таки взломали. Инструкция для сайтов на Битрикс
Любые сайты, даже работающие на известных CMS, часто становятся объектами массовых атак со стороны злоумышленников. Причины взломов зачастую кроются в халатности администраторов сайтов, которые забывают обновлять окружение или не хотят устанавливать обновления.
В феврале 2025 года специалисты зафиксировали очередную волну атак, на этот раз основной целью стали интернет-магазины, использующие устаревшие версии сборок и шаблонов.
Особенно пострадали сайты на популярном шаблоне ASPRO — в нескольких AJAX-скриптах выявлена критическая уязвимость: отсутствие защиты при использовании функции unserialize() открывало возможность для внедрения произвольных объектов (Object Injection) и запуска вредоносного кода.
В результате атаки на скомпрометированных сайтах стали появляться посторонние файлы-бэкдоры и фрагменты вредоносного кода в штатных файлах.
Признаки заражения
Взлом не всегда очевиден сразу. Часто сайт внешне продолжает открываться, но:
- срабатывают уведомления систем мониторинга, антивирусов и сканеров безопасности,
- некоторые разделы (каталог товаров, блог, новости) могут перестать работать,
- на страницах в исходном коде замечаются скрытые <iframe> с внешних доменов,
- сайт перенаправляет пользователей на чужие ресурсы и т.п.
В идеале, конечно, чтобы из этого списка выполнялся только пункт №1😅 Но об этом надо позаботиться заранее — установить и регулярно использовать соответствующие инструменты. Например:
- Раз в месяц запускать официальный сканер от Битрикс «1С-Битрикс: Поиск троянов» или другое проверенное решение для проактивной защиты из Marketplace Bitrix.
- Установить модуль мониторинга с уведомлениями о проблемах. Тут в пример приведем решение «Bquadro: Мониторинг сайта с ИИ». С помощью него можно отследить и подозрительные авторизации, и критичные ошибки, и даже проконтролировать свободное место на диске. Отдельная фишка решения: настройка уведомлений в Телеграм по выбранным параметрам для отслеживания.
Но если всё уже произошло, и сайт заражён, то предлагаем вот такую инструкцию, как диагностировать подобные взломы и очистить сайт.
Пошаговая диагностика и удаление вредоносного кода
Если вы обнаружили признаки вируса на сайте, действовать нужно незамедлительно. Выполните следующие шаги для диагностики и «лечения» зараженного Bitrix-сайта.
🔄 Шаг 1: Перекрытие уязвимостей и обновление системы
- Закройте брешь, через которую произошел взлом, чтобы предотвратить повторное заражение во время очистки.
- Установите обновления 1С-Битрикс (через систему обновлений) и обновите модули/компоненты сайта до актуальных версий.
- Если атака связана с известной уязвимостью в шаблоне или модуле — например, как в случае ASPRO — установите соответствующий патч или временно вручную исправьте уязвимый код.
- Убедитесь, что версии ядра Bitrix и всех используемых решений — последние доступные, поскольку обновления содержат закрытие известных дыр безопасности.
- Также на этом этапе снимите резервную копию текущего состояния сайта (файлы и база) — это позволит откатиться назад, если очистка пойдет не по плану.
💻 Шаг 2: Сканирование сайта на вредоносный код
Для поиска всех зараженных файлов используйте автоматизированные инструменты и ручной поиск.
Для автоматизированной проверки подходит решение «1С-Битрикс: Поиск троянов». Модуль просканирует все файлы проекта и отобразит список подозрительных файлов, содержащих вредоносные сигнатуры или отклонения от оригинального кода. Просмотрите каждый отмеченный файл – нельзя без разбора удалять все файлы из отчета, так как среди них могут быть системные файлы с внедренными фрагментами кода.
Ручной поиск по шаблонам кода будет включать в себя:
- поиск функций и строк, характерных для вирусов, (eval(, base64_decode, shell_exec и другие);
- проверка, не интегрированы ли вирусные фрагменты в стандартные файлы ядра Битрикс;
- очистка кеша и временных файлов.
🔎 Шаг 3: Поиск новых посторонних файлов
Кроме модификации существующих скриптов, вирусы часто размещают новые файлы-бэкдоры в различных каталогах сайта. Необходимо выявить и удалить их:
- через FTP/SSH просмотрите все .php-файлы, недавно измененные или созданные;
- выполните поиск по известным индикаторам компрометации. Специалисты по безопасности поделились перечнем файлов, которые встречались в таких атаках;
- проверьте административную директорию. В каталоге /bitrix/admin/ и в корне сайта обратите особое внимание на файлы с бессмысленными, случайными именами (наборы цифр и букв).
🔒 Шаг 4: Проверка средств закрепления доступа
Опытные хакеры стараются сохранить контроль над сервером даже после очистки. Необходимо проверить и устранить механизмы повторного заражения:
- Агенты (Scheduled Tasks) в админ-панели. Чаще всего вредоносный агент заметен визуально – может содержать вызов eval() или набор непонятных символов.
- Cron-задачи на сервере. Если у вас есть доступ к серверу (VPS/VDS), проверьте системный планировщик cron. Выполните команду: ls /etc/cron* и просмотрите, нет ли там незнакомых скриптов, запускаемых по расписанию.
- Права и пользователи. Удостоверьтесь, что в системе нет неожиданных пользователей или ключей доступа (если был root-доступ).
- Ограничьте права на PHP.
✅ Шаг 5: Восстановление нормальной работы и проверка результатов
После очистки вредоносного кода верните сайт в рабочее состояние и проведите финальную проверку:
- Восстановите оригинальные файлы ядра.
- Очистите кеш повторно и перезагрузите сервисы (веб-сервер, PHP) чтобы применились все изменения.
- Проведите повторное сканирование.
- Смените все пароли.
Выполнив эти шаги, вы удалите активный вредоносный код с сайта. Однако без изменения подходов к безопасности велика вероятность повторного заражения.
Более подробную инструкцию мы разместили на нашем сайте. В ней вы найдете:
- примеры бэкдоров с разбором,
- шаги для удаления зараженного кода,
- рекомендации для профилактики взлома и заражения сайта на Bitrix,
- подробности о полезном инструменте для мониторинга сайта.
Применяйте по назначению и следите за здоровьем своего сайта!
Мы в Телеграм: bquadro_agency