Взломы сайтов на 1С-Битрикс: лечение и профилактика
В начале 2025 года произошла масштабная и третья по счету волна взломов сайтов на 1С-Битрикс, затронувшая в первую очередь ресурсы с решениями АСПРО.
В этой статье мы делимся практическим руководством по диагностике, лечению и защите веб-ресурсов от вредоносных атак, а также анализируем причины взломов и рекомендациями по обеспечению безопасности.
Как все начиналось
Февраль 2025. В отдел веб-мастеринга Kokoc.tech поступают первые сигналы: сайты начинают падать, ломаются отдельные компоненты сайтов, появляются ссылки на фармацевтические, азартные и другие запрещенные ресурсы, в поиске — предупреждения «Сайт может навредить вашему устройству». К середине марта поток запросов становится лавиной.
Это была третья по счёту массовая волна взломов сайтов на 1С-Битрикс — и одна из самых масштабных за последние годы.
Волны взломов: 2023–2025
Ещё в 2023–2024 годах мы наблюдали две волны атак на Bitrix:
- Первая — через уязвимости в старых версиях ядра.
- Вторая — через компоненты, связанные с формами и каталогами.
Но февраль–июнь 2025 стали переломными. Хакеры атаковали сайты с необновлёнными решениями от АСПРО, стандартными модулями Битрикс и кастомными компонентами, оставшимися без патчей.
Анализ зараженных компонентов показал: волна взломов в первую очередь нацелена на сайты, использующие популярные решения от компании АСПРО — такие как Max, Next, LiteShop и другие. Основной причиной компрометации стали устаревшие версии этих шаблонов и модулей, содержащие критическую уязвимость. Чаще всего атаки реализовывались через уязвимость в функции unserialize, используемой при обработке пользовательских данных в настройках компонентов. Это позволяло злоумышленникам выполнять инъекцию сериализованных объектов, что приводило к произвольному выполнению кода (RCE).
Анализ показал: все инфицированные проекты использовали устаревшие версии решений АСПРО (до 24.1100) и не проводили обновление ядра 1С-Битрикс свыше 12 месяцев. Это создало идеальные условия для проникновения уязвимостей.
Клиенты жаловались на:
- Нарушение работоспособности некоторых функций сайта, в первую очередь — поиска или фильтрации.
- Поломку некоторых разделов, а в ряде случаев сайт переставал работать полностью.
- Снижение трафика и доверия, Блокировку Google и Яндекс.
Все эти симптомы — не просто «глюки». Это признаки активного вредоносного кода.
Признаки вирусов на сайте
Как понять, что сайт заражен? Вот ключевые симптомы:
- Редиректы на фарма, казино, ставки: Внедрён JS- или PHP-вирус
- Появление новых файлов в /upload/ или /bitrix/: Загрузка бэкдоров
- Странное поведение компонентов (формы, корзины): Инъекция кода в шаблоны
- Подозрительные строки в init.php, .htaccess, header.php и т.д.: eval, base64_decode, gzinflate
- Новые пользователи в админке Bitrix: Доступ злоумышленника
- Предупреждения в Google Search Console: Сайт внесён в список вредоносных
- Резкое падение позиций в поиске: Фильтрация или санкции
Важно: даже если ресурс «работает», но в коде сайта есть eval(base64_decode(...)) — это 100% вирус. Не игнорируйте!
Диагностика сайта на наличие вирусов
Перед лечением — диагноз. Проводим комплексную проверку:
Этап 1: Автоматическая проверка сайта
Диагностика заражения включает комплексное сканирование сайта с использованием специализированных инструментов. В первую очередь мы применяем сканер AI-BOLIT — инструмент для поиска следов взлома и вредоносного кода на сайтах.
AI-BOLIT помогает выявить:
- хакерские шеллы и бэкдоры;
- фишинговые страницы;
- скрытые вирусные вставки;
- дорвеи;
- спам-ссылки и другие признаки компрометации.
Сканер можно запускать как на хостинге (рекомендуемый способ — через SSH в командной строке), так и локально под Windows, macOS или *nix-системами. Он использует собственную антивирусную базу и эвристические правила, позволяющие обнаруживать даже новые, ещё неизвестные угрозы.
При нахождении подозрительных фрагментов AI-BOLIT формирует подробный отчет в HTML или текстовом формате — с перечнем зараженных файлов и описанием типа угрозы.
Дополнительно проводим проверку через онлайн-сканеры, такие как Dr.Web Site Detector, чтобы подтвердить результаты и выявить активность, заметную извне — например, редиректы или вредоносные iframe.
Этап 2. Проверка сайта вручную
Вначале производим анализ файлов через SSH или через файловый менеджер:
- Ищем подозрительные PHP-файлы;
- Проверяем .htaccess;
- Ищем файлы, изменённые за последние 2-4 недели;
Особое внимание — папкам:
- /bitrix/php_interface/init.php
- /local/templates/*/header.php
- /upload/php/
Далее проверяем базу данных. Иногда вирусы прячутся в настройках или контенте:
SELECT * FROM b_file WHERE CONTENT LIKE '%eval%';
SELECT * FROM b_event WHERE MESSAGE LIKE '%base64%';
Также проверяем настройки шаблонов — в них могут быть вставлены JS-скрипты.
Очистка сайтов от вирусов
Теперь — лечение. Действуем по порядку.
Шаг 1: Бэкап
- Перед работами обязательно необходимо сделать полный бэкап сайта.
- Ищем чистый бэкап сайта до заражения (по возможности).
Шаг 2: Изоляция
- Включаем режим обслуживания в админпанели 1C-Bitrix.
- Ограничиваем доступ к сайту по IP или паролю (через .htpasswd).
- Отключаем FTP и SSH на время чистки (если возможно).
Шаг 3: Удаление вредоносного кода
- Удаляем все подозрительные файлы в /upload/, /cache/, /tmp/ и т.д., которые обнаружились после этапа диагностики.
- Заменяем изменённые системные файлы на оригинальные из чистого бэкапа. Если чистого бэкапа не нашлось, используем файлы из дистрибутива Bitrix (той же версии!).
- Чистим init.php, header.php, .htaccess.
- Удаляем неизвестных пользователей в админпанели 1С-Bitrix (если такие были найдены).
Шаг 4: Очистка базы данных
- Удаляем подозрительные события (b_event).
- Проверяем таблицы b_file, b_iblock_element, b_seo_sitemap на вредоносный HTML/JS.
- Обновляем кеш.
Закрытие уязвимостей
Чистка — это только начало. Нужно закрыть дыры, через которые проник вирус.
Основная защита от вирусов — это полное обновление системы и модулей, но если в настоящий момент это сделать нет возможности, можно установить «заплатки».
1. Блокировка через .htaccess — первый щит
- Ограничиваем доступ к потенциально опасным файлам и папкам.
- Запрещаем доступ к подозрительным служебным файлам.
- Ограничиваем доступ к админке по IP (если возможно).
2. Фильтрация запросов в init.php — остановка до выполнения
Можно добавить защиту на уровне PHP, в файле /bitrix/php_interface/init.php. Это позволяет перехватить опасные запросы до того, как они достигнут уязвимого компонента.
Пример: блокировка unserialize в GET/POST или блокировка по сигнатурам (например, base64 + eval).
Важно: такие проверки не заменяют обновлений, но останавливают большинство автоматизированных атак.
3. Ограничение в php.ini или user.ini
На уровне PHP можно отключить опасные функции (если это не ломает сайт) или ограничить unserialize
Внимание: eval и assert часто используются в шаблонах АСПРО — отключайте с осторожностью.
4. WAF на уровне сервера (ModSecurity)
Если есть доступ к серверу — настройте ModSecurity с правилами OWASP Core Rule Set. Он автоматически блокирует:
- SQL-инъекции;
- XSS;
- RCE через unserialize;
- попытки обхода аутентификации.
Важно понимать:
- Такие «заплатки» не устраняют уязвимость, а лишь мешают её эксплуатации.
- Они могут сломаться при изменении логики сайта.
- Это временное решение, пока не будет проведено обновление.
Лучшая защита — обновление. Но если оно невозможно — правильные .htaccess и фильтры в init.php могут спасти сайт от взлома.
Финальная проверка
После всех действий — финальный тест:
Главная защита — обновление
Обновления — не роскошь, а базовая необходимость.
Третья волна взломов 2025 года — не результат хакерской изощрённости, а прямое следствие пренебрежения простыми правилами безопасности: устаревшее ядро, необновлённые шаблоны, игнорированные патчи.
Злоумышленники не взламывают системы. Они просто входят в открытые двери.
Что делать, если вы не уверены в чистоте сайта?
Если вы подозреваете, что сайт заражён, но не знаете с чего начать — обращайтесь к нам в Kokoc.tech. Поможем провести диагностику и полностью очистить ваш сайт от вирусов.
✅ В нашем Telegram-канале мы публикуем много новых кейсов и статей, рассказываем про наш опыт. А еще мы любим шутки и развлекательный контент. Заглядывайте к нам!