Устранение вредоносных тегов в директории сайта на Битрикс
В директории вашего сайта присутствует подозрительный зашифрованный код, например, в файлах:
./bitrix/modules/bd.deliverysushi/install/wp-login.php
./bitrix/blocks/bitrix/11.4.tariffs_detail_4_cols/lang/wp-login.php
./bitrix/components/bd/profile.bonus/radio.php
./bitrix/components/bitrix/breadcrumb/lang/content.php
./bitrix/components/bitrix/main.interface.grid/2index.php
./bitrix/themes/.default/start_menu/controller/wp-login.php
./bitrix/managed_cache/MYSQL/b_task_operation/b2/radio.php
./bitrix/managed_cache/MYSQL/js/index.php
./bitrix/wizards/bitrix/demo/templates/index.php
./bitrix/images/landing/business/100x100/radio.php
./upload/resize_cache/iblock/40f/200_200_1/2index.php
./upload/resize_cache/iblock/618/553_475_2/2index.php
./about.php
./1/doc/pgd8zdgnw14q393j8e5senjb.php
По всей видимости сайт был взломан. Рекомендую восстановить сайт из доступных резервных копий, а после обновить CMS, модули CMS до последней версии, а также удалить все неиспользуемые модули чтобы сократить векторы атаки.
Как нам удалось выявить, в случае CMS Bitrix заражение в большей части случаев связано с модулем "vote". Эта ситуация известна ещё с прошлого года и фигурирует в статье:
https://itsoft.ru/support/cases/uyazvimost-modulya-vote-cms-1s-bitriks/
Проблема возникает, если модуль версии ниже 21.0.100.
Если указанный модуль ранних версий в CMS сайта включён, рекомендуем вам после восстановления сайта выполнить все рекомендации из статьи выше, включая проверку модифицированных агентов в CMS (Настройки → Настройки продукта → Агенты).
Обращаю ваше внимание, что даже в случае если модуль был отключен, но при этом в директории сайта остались его файлы:
bitrix/modules/vote/
bitrix/tools/vote/
Они также могут стать вектором атаки и сайт через них будет взломан.
Также в решении инцидента вам можем быть полезна информация в обсуждениях:
https://dev.1c-bitrix.ru/community/forums/forum6/topic147346/?PAGEN_1=15
https://dzen.ru/a/ZBGiiq0eyQltr2WP
Как альтернативный вариант, вы можете обратиться к стороннему специалисту, который проведет аудит безопасности скриптов сайта и устранит обнаруженные проблемы.
Например, вы можете найти специалистов для решения этой задачи в разделе Marketplace нашего сообщества по ссылке: https://timeweb.com/ru/community/marketplace
./bitrix/modules/bd.deliverysushi/install/wp-login.php
./bitrix/blocks/bitrix/11.4.tariffs_detail_4_cols/lang/wp-login.php
./bitrix/components/bd/profile.bonus/radio.php
./bitrix/components/bitrix/breadcrumb/lang/content.php
./bitrix/components/bitrix/main.interface.grid/2index.php
./bitrix/themes/.default/start_menu/controller/wp-login.php
./bitrix/managed_cache/MYSQL/b_task_operation/b2/radio.php
./bitrix/managed_cache/MYSQL/js/index.php
./bitrix/wizards/bitrix/demo/templates/index.php
./bitrix/images/landing/business/100x100/radio.php
./upload/resize_cache/iblock/40f/200_200_1/2index.php
./upload/resize_cache/iblock/618/553_475_2/2index.php
./about.php
./1/doc/pgd8zdgnw14q393j8e5senjb.php
По всей видимости сайт был взломан. Рекомендую восстановить сайт из доступных резервных копий, а после обновить CMS, модули CMS до последней версии, а также удалить все неиспользуемые модули чтобы сократить векторы атаки.
Как нам удалось выявить, в случае CMS Bitrix заражение в большей части случаев связано с модулем "vote". Эта ситуация известна ещё с прошлого года и фигурирует в статье:
https://itsoft.ru/support/cases/uyazvimost-modulya-vote-cms-1s-bitriks/
Проблема возникает, если модуль версии ниже 21.0.100.
Если указанный модуль ранних версий в CMS сайта включён, рекомендуем вам после восстановления сайта выполнить все рекомендации из статьи выше, включая проверку модифицированных агентов в CMS (Настройки → Настройки продукта → Агенты).
Обращаю ваше внимание, что даже в случае если модуль был отключен, но при этом в директории сайта остались его файлы:
bitrix/modules/vote/
bitrix/tools/vote/
Они также могут стать вектором атаки и сайт через них будет взломан.
Также в решении инцидента вам можем быть полезна информация в обсуждениях:
https://dev.1c-bitrix.ru/community/forums/forum6/topic147346/?PAGEN_1=15
https://dzen.ru/a/ZBGiiq0eyQltr2WP
Как альтернативный вариант, вы можете обратиться к стороннему специалисту, который проведет аудит безопасности скриптов сайта и устранит обнаруженные проблемы.
Например, вы можете найти специалистов для решения этой задачи в разделе Marketplace нашего сообщества по ссылке: https://timeweb.com/ru/community/marketplace
Срок:
11.05.2023
Цена:
По договоренности
2